Snort: Bestimmte Adressen ausschliessen



  • Hallo,

    wir haben mehrere IP-Bereich, die wir mittels Snort (IPS) über die Schnittstelle WAN schützen. Nun haben wir, bzw. auch unsere Kunden die Anforderung, diesen Schutz für bestimmte IP-Adressen in unterschiedlichen DMZs zu entfernen (z.B. für einen Honeypod).

    Es ist in Ordnung wenn diese Bereiche/Adressen überwacht werden, aber nicht blockiert.

    Die "Pass List" kann ich ja nicht verwenden, da diese ja die Quelle definiert und nicht das Ziel.

    Wird dies vielleicht über die Suppress-Liste geregelt? Wenn ja, mit welcher Syntax?

    Danke

    Dirk



  • Ich versuche es mal anders:

    Ich habe in unserem RZ einen Pool von offiziellen Adressen. Nennen wir die Adressen mal 1.2.3.0/24. Diese sind von Außen über die Schnittstelle "WAN" zu erreichen. Wir möchten nun einen Rechner mit der IP 1.2.3.10 einrichten, der als Honey-Pod fungiert. Hier soll die Arbeitsweise von gewissen Internetnutzern beobachtet werden. Nur ist dies mit Snort nicht möglich, da bevor es richtig interessant wird, schon die IP gesperrt ist.

    Also wie kann ich eine -oder Bereiche- einer Desination-IP (1.2.3.10) für alles freischalten, unabhängig von der Quell-IP? In der Suppress-Liste?
    Wie würde die Rule aussehen?