Snort - Bloquear classe especifica de regras



  • Boa tarde, tenho o snort rodando no pfsense a algum tempo, somente logando. Agora queria começar a bloquear, mas so alguns tipos específicos, como por ex: (Class) Attempted User Privilege Gain , que gera os: (smtp) Attempted response buffer overflow.
    O restante das regras gostaria de continuar apenas logando.
    Configurei ele baseado no tutorial : Quick Snort Setup Instructions for New Users.
    Em "Use IPS Policy" deixie a opção: "Connectivity"
    dei uma lida em outros tutorias, mas não sei se é possível fazer isso quero.



  • Não sei se a versão atual é compatível, mas já tentou configurar dois snorts na mesma interface?

    um só com alertas e outro só com as categorias para bloquear?




  • @marcelloc:

    Não sei se a versão atual é compatível, mas já tentou configurar dois snorts na mesma interface?

    um só com alertas e outro só com as categorias para bloquear?

    Obrigado pela sugestão Marcello;
    Vou ver aqui na maquina de teste se rola…..

    UPDATE
    Fiz um teste agora, criei dois snorts na wan, um so com alertas e outro bloqueando a categoria que quero
    Rodou sem erros, vou deixar ate amanha pra ver


Log in to reply