Navigation

    Netgate Discussion Forum
    • Register
    • Login
    • Search
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search

    SNORT : aucune action

    Français
    4
    7
    130
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • F
      flow544 last edited by

      Bonjour à tous,

      Ma configuration :
      2.4.4-RELEASE-p3 (amd64)
      1x WAN
      1x LAN
      1x WirelessLAN
      Version SNORT : 3.2.9.10

      J'ai configuré SNORT pour deux choses :

      • l'une sur mon interface Wireless LAN qui doit bloquer les réseaux sociaux
      • l'autre sur mon interface WAN qui doit bloquer les scans de ports

      Pour l'interface Wireless LAN (blocage des réseaux sociaux) :
      En mode "bloqué", j'ai activé la catégorie openappid-social_networking.rules. Tous les paramètres sont cochés (par défaut).
      Dans le Preprocs, j'ai coché "Use OpenAppID to detect various applications. Default is Not Checked.".
      Malgré ça, j'arrive à accéder à tous les réseaux sociaux.

      Pour l'interface WAN (blocage des scans de ports) :
      En mode "bloqué", j'ai activé les catégories :
      emerging-scan.rules
      snort_indicator-scan.rules
      snort_scan.rules
      Dans le Preprocs, j'ai coché "Use Portscan Detection to detect various types of port scans and sweeps. Default is Not Checked." (testé avec et sans).
      Malgré ça, en faisant un test de scan depuis l’extérieur, rien n'est bloqué.

      Je pense qu'il y a un problème général, ou une mauvaise configuration de ma part.

      Pourriez-vous m'aider ?

      PS : est-ce normal que, lorsque je clique sur "View List" de ma variable Home Net, rien ne s'affiche, l'encadré est vide (voir image ci-dessous).

      Je vous remercie d'avance :)

      Capture.PNG

      1 Reply Last reply Reply Quote 0
      • C
        ccnet last edited by

        Quel est votre contexte d'emploi ? Je crois comprendre que vous n'avez besoin que de trafic sortant, que vous n'hébergez rien derrière le pare-feu. Dans ce cas Snort est strictement inutile s'agissant de l'interface Wan.

        1 Reply Last reply Reply Quote 0
        • F
          flow544 last edited by

          Bonjour,
          Merci pour votre retour.
          Mon contexte : j'ai un serveur mail qui est derrière le pare-feu, donc j'ai besoin du trafic entrant.

          C 1 Reply Last reply Reply Quote 0
          • C
            ccnet @flow544 last edited by

            @flow544

            Ma recommandation serait l'usage d'une solution de filtrage externalisé telle que Altospam si c'est une petite ou moyenne configuration. Ou Proofpoint si vous êtes sur une grosse configuration et, ou besoin critique.

            Dans tous les cas votre pare-feu n'acceptera que les connexions de cette plate-forme en tcp/25. Filtrer les contenus en amont est beaucoup plus efficace en terme de protection que Snort.

            1 Reply Last reply Reply Quote 0
            • C
              chris4916 last edited by

              Proxmox dispose également d'un MTA de filtrage de mail très performant (Proxmox Mail Gateway) qui devrait répondre assez bien au besoin

              Jah Olela Wembo: Les mots se muent en maux quand ils indisposent, agressent ou blessent.

              1 Reply Last reply Reply Quote 0
              • Tatave
                Tatave last edited by

                salut salut

                effectivement pfsense n'a rien a voir avec cette problématique

                Proxmox a certes une solution, mais il y a aussi une autre distribution qui est spécialisée dans le filtrage des mails qui est https://www.mailcleaner.org/ avec un environnement type communauté comme ici avec pfsense, elle s'intercale entre le point d'entrée et le(s) serveur(s) de mails.
                Pour l'avoir utiliser chez un hébergeur de produit blanc, j'ai trouvé cela assez efficace et fonctionnel.

                aider, bien sûre que oui
                assister, évidement non !!!

                donner à manger à un homme, ne lui permettra que de survivre qu'un temps.
                apprendre à un homme comment cuisiner, il sera vivre.

                1 Reply Last reply Reply Quote 0
                • C
                  chris4916 last edited by

                  @Tatave said in SNORT : aucune action:

                  elle s'intercale entre le point d'entrée et le(s) serveur(s) de mails.

                  il faut également intercaler ce composant à la sortie. Mais il semble que mailcleaner ne supporte pas, par défaut en tous cas, DKIM et DMARC. Ou alors la documentation (de la version commerciale, car il n'y a pas de doc avec la version community) ne le mentionne pas.

                  Jah Olela Wembo: Les mots se muent en maux quand ils indisposent, agressent ou blessent.

                  1 Reply Last reply Reply Quote 0
                  • First post
                    Last post