Thread Info
  • State Not Answered
  • Replies 2 replies
  • Subscribers 0 subscribers
  • Views 574 views
  • Users 0 members are here
Options
Suggested

ip_queue & Snort Inline

JimmyM
Does ASL support the use of the ip_queue module and the QUEUE target in its distrubution of IPTABLES?
I have Snort up and running on my ASL box and all is fine. However, I'd like to switch to Snort inline in Queue mode to use it for selective Intrusion Prevention for certain packet filter rules. I would Queue all inbound traffic on certain ports but leave the rest un-scanned. I'd use Snort, in "IDS mode", on a separate machine.
I want to block known attacks on certain ports.
What do you think are the odds that Astaro will add a QUEUE option to the list of available actions in the packet filter rules?
Now all I'd have to do is get ASL to allow me to access SnortSnarf through it's webserver! 
Parents
  • 0
    I'd REALLY like this feature also, especially on port 80 to protect an NT4 webserver. We have a PAID 50-ip license (HINT)!

    I've gotten hogwash and inline snort running on separate boxes, but not with asl.

    I've tried inserting the rules myself (manually on the command line), but they don't seem to work. I'm not sure if I'm inserting them in the right order, as there are so many rules in asl.
    Also, I'm not sure how one would get them to stay in the right place on reboot/reconfigure.

    Barry  
Reply
  • 0
    I'd REALLY like this feature also, especially on port 80 to protect an NT4 webserver. We have a PAID 50-ip license (HINT)!

    I've gotten hogwash and inline snort running on separate boxes, but not with asl.

    I've tried inserting the rules myself (manually on the command line), but they don't seem to work. I'm not sure if I'm inserting them in the right order, as there are so many rules in asl.
    Also, I'm not sure how one would get them to stay in the right place on reboot/reconfigure.

    Barry  
Children
  • 0 in reply to BarryG
    I've got the "Snort on ASL" hack done and it works fine. I just can't bounce traffic off of my router. It drops packets. My existing snort-bridge can process about 8-9Mbit of traffic on a P-200.
    I was searching the web for an "ASL like" product that is a Linux bridge firewall (iptables) on which I could install snort-inline. Now I have a RH8 box with a recompiled kernel with the br-nf patch. I use IPTABLES to queue some incoming and some outgoing traffic to snort and the rest gets FORWARDed.
    ToDo: Find a precompiled 2.4.20+ kernel RPM with the br-nf patch (I'm new to recompiling the kernel), Learn how to set up Apache for SnortSnarf.
    I've got some work to do. 
Cookie Information Banner