Problème snort sous pfsense

ccnet

Il est possible que, tout simplement, le trafic vers 172.16.20.2 ne soit pas autorisé sur l'interface lan de Pfsense. En ce cas le scan ne parvient pas jusqu'à Snort ? Qu'en est il des règles sur l'interface 192.168.1.254 ?

sabri24

@ccnet:

Il est possible que, tout simplement, le trafic vers 172.16.20.2 ne soit pas autorisé sur l'interface lan de Pfsense. En ce cas le scan ne parvient pas jusqu'à Snort ? Qu'en est il des règles sur l'interface 192.168.1.254 ?

sur l'interface 192.162.1.254 j'ai les les règles suivantes :

autoriser l'interface lan à communiquer avec les autres interface du firewall
autoriser l'accès vers l'interface lan à travers le port 22 et 80

ccnet

Vous feriez mieux de poster une copie d'écran. Je ne suis pas certain que les règles correspondent à ce que vous indiquez.

sabri24

@ccnet:

Vous feriez mieux de poster une copie d'écran. Je ne suis pas certain que les règles correspondent à ce que vous indiquez.

ma configuration est comme suite :

snort.png_thumb
![interface lan.png](/public/imported_attachments/1/interface lan.png)
![interface lan.png_thumb](/public/imported_attachments/1/interface lan.png_thumb)

ccnet

Dans le seconde regle, remplacez, pour test, Lan net par any, puis redémarrez pfsense. Regardez ce qui se passe, en particulier dans les logs pour valider le bon fonctionnement de Snort et le traitement de votre scan vers l'ip en dmz.
Par ailleurs l'usage de snort sur le firewall est à proscrire compte tenu des risques d'indisponibilité liés à la consommation de cpu que Snort peu générer. Le comportement d'un système sous stress cpu peut s'avérer imprévisible (cf les switchs bas de gammes) donc dangereux.

sabri24

@ccnet:

Dans le seconde regle, remplacez, pour test, Lan net par any, puis redémarrez pfsense. Regardez ce qui se passe, en particulier dans les logs pour valider le bon fonctionnement de Snort et le traitement de votre scan vers l'ip en dmz.
Par ailleurs l'usage de snort sur le firewall est à proscrire compte tenu des risques d'indisponibilité liés à la consommation de cpu que Snort peu générer. Le comportement d'un système sous stress cpu peut s'avérer imprévisible (cf les switchs bas de gammes) donc dangereux.

toujours pareil ….:( ça marche pas

ccnet

Je me répète :

Regardez ce qui se passe, en particulier dans les logs pour valider le bon fonctionnement de Snort et le traitement de votre scan vers l'ip en dmz.

sabri24

@ccnet:

Je me répète :

Regardez ce qui se passe, en particulier dans les logs pour valider le bon fonctionnement de Snort et le traitement de votre scan vers l'ip en dmz.

svp vous pouvez me décrire les règles à activer au niveau du snort sous pfsense … pour savoir comment le snort va détecter un scan via nmap à partir du lan ..; et s'il y a un tutoriel que je peux le suivre .... merciiiiii

ccnet

Là aussi on ferme, en tout cas pour moi.

souzi90

bonjour,
j'ai des problémes avec les régles du Snort !! ils ne sont pas mis à jours méme que il ne fonctionne pas come il faut !!
aidez moi svp

ccnet

Orthographe et formulation indigentes. On ferme.