Snort - Bloquear classe especifica de regras
-
Boa tarde, tenho o snort rodando no pfsense a algum tempo, somente logando. Agora queria começar a bloquear, mas so alguns tipos específicos, como por ex: (Class) Attempted User Privilege Gain , que gera os: (smtp) Attempted response buffer overflow.
O restante das regras gostaria de continuar apenas logando.
Configurei ele baseado no tutorial : Quick Snort Setup Instructions for New Users.
Em "Use IPS Policy" deixie a opção: "Connectivity"
dei uma lida em outros tutorias, mas não sei se é possível fazer isso quero. -
Não sei se a versão atual é compatível, mas já tentou configurar dois snorts na mesma interface?
um só com alertas e outro só com as categorias para bloquear?
-
Não sei se a versão atual é compatível, mas já tentou configurar dois snorts na mesma interface?
um só com alertas e outro só com as categorias para bloquear?
Obrigado pela sugestão Marcello;
Vou ver aqui na maquina de teste se rola…..UPDATE
Fiz um teste agora, criei dois snorts na wan, um so com alertas e outro bloqueando a categoria que quero
Rodou sem erros, vou deixar ate amanha pra ver