Snort en interface bridge



  • Hola a todo el mundo, soy TOTALMENTE nuevo en PFSense y estoy mas que perdido. Si bien estoy leyendo un poco, aun falta aprender.

    Actualmente tengo todos mis clientes con Mikrotik y claramente me manejo muy bien con ROS. Pero estoy interesado en usar SNORT para dar una capa mas de seguridad.

    Mi idea era poner un servidor PFSense con 3 interfaces. 2 en modo bridge entre el ISP y mi Router y una tercera interface solo para administrar el PFSense.

    Sobre esa interface bridge, queria activar Snort y anti-virus. Dejando todo lo que es funcion de Firewall, QOS, DHCP etc etc etc al MK

    ISP–---PFSense bridge transparante-------MK-------LAN

    Es posible?
    Saludos





  • Gracias javcasta!!! mañana me pongo a leer



  • Hola

    O pasado mañana, jaja :)
    Buena suerte y nos cuentas cómo lo haces.

    Salu2



  • Bueno. Básicamente siguiendo las indicaciones logre poner las cosas.
    La única diferencia, fue que tuve que poner las 3 interfaces en el bridge. Si ponía 2 en bridge y una como LAN para administrarlo me empezaron a aparecer cosas raras en la red, hasta el punto que el PFSense tiraba DHCP en el rango 192.168.1.0/24 cuya red no tenia declarada en ningún lado del PF. Ni tampoco habilitado el servicio de DHCP.
    Por lo que poniendo las 3 en el bridge solucione eso.

    Ahora solo me falta ver que hace SNORT cuando detecte algo, ya que tengo dudas sobre su funcionamiento sobre la interface bridge y el firewall.
    Me pasa que en el firewall puse a prueba de bloquear el trafico ICMP. y cuando creo las reglas en "WAN, LAN, OPT1 y/o BRIDGE" no machea la regla, salvo que la ponga en "floating" y marcando las 4 IF.

    Como puedo poner a prueba el SNORT? quiero generar algo de trafico para que me bloquee y ver si el firewall trabaja como debería.

    Saludos