Problème snort sous pfsense


  • j'arrive pas à détecter le scan nmap de lan : 192.168.1.2 sur zone dmz : 172.16.20.2 par snort sous pfsense … j'ai suivi un tuté oriel de pfsense concernant les rules à appliquer pour snort au niveau de détection de scan .... mais toujours pas des alertes et de bloque sous snort  :( .... j'ai besoin d'aide svp ( sachant que je suis débutant au niveau de pfsense.....)

    voici le schéma de mon architecture:

    lan -----------------------------------pfsense-------------------------------------dmz
    192.168.1.2                  192.168.1.254            172.16.20.254                          172.16.20.2


  • j'arrive pas à détecter le scan nmap de lan : 192.168.1.2 sur zone dmz : 172.16.20.2 par snort sous pfsense

    Il y a un schéma, c'est bien. Néanmoins je ne comprend pas ce que cela signifie. Vous lancez un scan sur l'ip 172.16.20.2 depuis la machine 192.168.1.2 ?

    D'une façon plus générale, il nous serait agréable que vous preniez la peine, sollicitant notre aide, d'écrire dans un français correct.


  • @ccnet:

    j'arrive pas à détecter le scan nmap de lan : 192.168.1.2 sur zone dmz : 172.16.20.2 par snort sous pfsense

    Il y a un schéma, c'est bien. Néanmoins je ne comprend pas ce que cela signifie. Vous lancez un scan sur l'ip 172.16.20.2 depuis la machine 192.168.1.2 ?

    D'une façon plus générale, il nous serait agréable que vous preniez la peine, sollicitant notre aide, d'écrire dans un français correct.

    d'accord… bon j'ai effectué un scan via nmap qui a pour @ source : 192.168.1.2 et comme @ destinataire : 172.16.20.2

    j'ai suivi un tutoriel de snort sous pfsense au niveau de configuration des rules

    le problème c'est que le snort ne m'affiche pas des alertes et ne bloque pas l'@ ip

    donc svp je cherche une solution pour mon problème sachant que je suis débutant sur pfsense


  • Il est possible que, tout simplement, le trafic vers 172.16.20.2 ne soit pas autorisé sur l'interface lan de Pfsense. En ce cas le scan ne parvient pas jusqu'à Snort ? Qu'en est il des règles sur l'interface 192.168.1.254 ?


  • @ccnet:

    Il est possible que, tout simplement, le trafic vers 172.16.20.2 ne soit pas autorisé sur l'interface lan de Pfsense. En ce cas le scan ne parvient pas jusqu'à Snort ? Qu'en est il des règles sur l'interface 192.168.1.254 ?

    sur l'interface 192.162.1.254 j'ai les les règles suivantes :

    autoriser l'interface lan à communiquer avec les autres interface du firewall
    autoriser l'accès vers  l'interface lan à travers le port 22 et 80


  • Vous feriez mieux de poster une copie d'écran. Je ne suis pas certain que les règles correspondent à ce que vous indiquez.


  • @ccnet:

    Vous feriez mieux de poster une copie d'écran. Je ne suis pas certain que les règles correspondent à ce que vous indiquez.

    ma configuration est comme suite :



    ![interface lan.png](/public/imported_attachments/1/interface lan.png)
    ![interface lan.png_thumb](/public/imported_attachments/1/interface lan.png_thumb)


  • Dans le seconde regle, remplacez, pour test, Lan net par any, puis redémarrez pfsense. Regardez ce qui se passe, en particulier dans les logs pour valider le bon fonctionnement de Snort et le traitement de votre scan vers l'ip en dmz.
    Par ailleurs l'usage de snort sur le firewall est à proscrire compte tenu des risques d'indisponibilité liés à la consommation de cpu que Snort peu générer. Le comportement d'un système sous stress cpu peut s'avérer imprévisible (cf les switchs bas de gammes) donc dangereux.


  • @ccnet:

    Dans le seconde regle, remplacez, pour test, Lan net par any, puis redémarrez pfsense. Regardez ce qui se passe, en particulier dans les logs pour valider le bon fonctionnement de Snort et le traitement de votre scan vers l'ip en dmz.
    Par ailleurs l'usage de snort sur le firewall est à proscrire compte tenu des risques d'indisponibilité liés à la consommation de cpu que Snort peu générer. Le comportement d'un système sous stress cpu peut s'avérer imprévisible (cf les switchs bas de gammes) donc dangereux.

    toujours pareil ….:(  ça marche pas


  • Je me répète :

    Regardez ce qui se passe, en particulier dans les logs pour valider le bon fonctionnement de Snort et le traitement de votre scan vers l'ip en dmz.


  • @ccnet:

    Je me répète :

    Regardez ce qui se passe, en particulier dans les logs pour valider le bon fonctionnement de Snort et le traitement de votre scan vers l'ip en dmz.

    svp vous pouvez me décrire les règles à activer au niveau du snort sous pfsense … pour savoir comment le snort va détecter un scan via nmap à partir du lan ..; et s'il y a un tutoriel que je peux le suivre .... merciiiiii


  • Là aussi on ferme, en tout cas pour moi.


  • bonjour,
    j'ai des problémes avec les régles du Snort !! ils ne sont pas mis à jours méme que il ne fonctionne pas come il faut !!
    aidez moi svp


  • Orthographe et formulation indigentes. On ferme.