我正在使用" snort_inline"我使用转发所有数据包 iptables到QUEUE,以便snort_inline可以接收它们 检查和丢弃/警报取决于规则。 但是" Snort"当以内联模式运行时从iptables接收数据包 太? Snort和Snort_inline之间有什么区别呢 阻止数据包? 我观察到当我跑步时#Sn;"没有使用iptables,不知怎的,我的 数据包丢失了。 如果有人为我澄清这一点会很有帮助。 谢谢 !
答案 0 :(得分:1)
snort_inline已弃用,您应该将Snort与DAQ一起使用。使用DAQ的Snort可以处理相同的Snort“丢弃”数据包。
DAQ将支持几种不同的内联模式,iptables(nfqueue)就是其中之一。