Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    [RISOLTO] Come escludere ip utile agli aggiornamenti ma bloccato da SNORT

    Scheduled Pinned Locked Moved Italiano
    5 Posts 2 Posters 1.4k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • S
      Slacker
      last edited by

      Ciao ragazzi,
      ho bisogno di aggiornare il sistema in un pc ma snort mi impedisce continuamente di farlo perche mi blocca questo indirizzo ip: 90.147.160.69 (utile per gli apt-get update) e mi costringe alla rimozione dei "blocchi" manualmente.

      Voi come fareste per inserirlo in una lista protetta?

      Grazie in anticipo.

      1 Reply Last reply Reply Quote 0
      • Z
        Zanotti
        last edited by

        Ciao, prima di tutto definisciti una lista di host in "Firewall" -> "Aliases" dove andrai ad inserire gli IP che verranno esclusi da SNORT.
        Una volta che hai assegnato il nome a questa lista e hai salvato devi andare nel menù di SNORT "Pass Lists" e specificare il nome della lista nel campo "Add custom IP Addresses from configured Aliases."

        Salva e riavvia il servizio, controlla i log e verifica.
        Ciao.

        1 Reply Last reply Reply Quote 0
        • S
          Slacker
          last edited by

          Ciao Zanotti,

          ti ringrazio per la tua risposta che vedo è adatta allo scopo, ma ho già rimediato alcuni giorni fa sfruttando una altro metodo che dovrebbe essere lo stesso, correggimi se sbaglio, e che ti espongo:

          • nel momento che mi viene bloccato l'indirizzo IP da snort addiritura dal tab di Alerts, vado a premere l'iconcina + nel campo corrispondente al Source che mi visualizza la scritta "Add this alert to the Suppress List and track by_src IP" e così facendo quell'indirizzo prima bloccato viene messo nell'elenco dei Soppressi e non mi si ripresenta più il problema.

          Quindi senza creare alias ma mettendolo direttamente nei soppressi non viene più bloccato.

          Tu cosa ne pensi di questa soluzione?

          1 Reply Last reply Reply Quote 0
          • Z
            Zanotti
            last edited by

            Ciao, la tua soluzione potrebbe essere adatta al tuo scopo, la differenza tra il mio esempio e il tuo è che tu hai aggiunto un IP ad una lista di soppressione, ovvero istruisci SNORT a sopprimere quel determinato allarme per quel determinato IP. Di conseguenza quell'IP verrà ignorato per quella specifica regola ma potrebbe farne scattare altri trigger. Di regola la soppression list dà un controllo molto esteso e granulare dei trigger di SNORT, e ritengo sia la via migliore per imparare a capire come funziona l'IDS. Se hai una serie di IP di cui puoi fidarti ciecamente allora puoi usare anche l'esempio cui ti avevo scritto nel post prima.

            1 Reply Last reply Reply Quote 0
            • S
              Slacker
              last edited by

              In effetti tu hai ragione: "istruisci SNORT a sopprimere quel determinato allarme per quel determinato IP….". Di conseguenza quell'IP verrà ignorato per quella specifica regola ma potrebbe farne scattare altri trigger...

              Ecco perchè la Suppress list non è altro che l'elenco delle tracce non ancora approvvate definitivamente a causa di possibili falsi positivi che potrebbero anche non esserlo perchè determinati da nostre valutazioni errate.

              Credo che lascerò ancora quel piccolo elenco creato nella Suppress list e, a poco a poco lo sposterò nella Pass list.

              Grazie Zanotti

              1 Reply Last reply Reply Quote 0
              • First post
                Last post
              Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.