您好
据我所知,iptables和snort是用户空间工具,所以他们应该与内核交互来完成他们的任务
我很想知道iptables和snort如何与内核交互?
我在Internet上发现了一些信息,有五个netfilter挂钩(与iptables'链同名)iptables在那里注册自己的表。但不幸的是,搜索snort没有成功。
我想知道他们如何与内核交互,因为我可能会同时使用它们......在丢弃SSH数据包的情况下(在snort中使用OpenAppID并在iptables中使用端口22丢弃数据包),我发现snort具有优先权over iptables,这意味着如果snort在iptables丢弃时接受一个数据包,最终的结果是数据包将接受。
答案 0 :(得分:0)
“ Snort 1.x版本可以分析第3层和第4层标头,但不能分析应用程序层协议。预计即将发布的Snort版本2也将增加对应用程序层标头的支持。”
在您的情况下,最合适的iptables和snort在不同的链中运行。请仔细检查iptables链规范,并确保iptables将首先收到软件包。
(例如PREROUTE将在INPUT等之前处理)