Snort Blockregeln

Michael9876

Hallo.

Ich beschäftige mich gerade mit Snort package und komme da nicht weiter.

Als Hardware habe ich APU2C4.
pfSense Version: 2.5.0-DEVELOPMENT

• Meine aktuellen Snort Einstellungen

Snort Interfaces=> LAN Settings=> Block Settings:
Block Offenders - aktiviert
IPS Mode - Inline Mode

LAN Categories:
Use IPS Policy - aktiviert
IPS Policy Selection - Security
IPS Policy Mode - Policy
Ruleset: Snort OPENAPPI Rules - alle aktiviert

LAN Preprocs:
Application ID Detection - aktiviert
AppID Stats Logging - aktiviert

SID Mgmt:
Enable Automatic SID State Management - aktiviert

Zu meinen Fragen:

1. Verstehe ich die Funktion unter LAN Rules Tab richtig?
   Wenn die Regeln mit Enabled by user aktiviert sind, dann kann man unter Action mit Action weiterhin Regeln mit einer Warnmeldung zulassen oder mit Drop die Regeln blockieren.

2. Falls Punkt 1 richtig sein sollte, würde ich gerne alle Snort OPENAPPI Regeln auf Drop setzen und nur bestimmte Regeln zulassen. Also nur aktuelle Regeln, die z.B. vom PC auf das Internet zugreifen wollen.
   Kann man alle oder nur bestimmte Regeln überhaupt mit einem Klick auf Drop setzen?

MfG

Michael