Snort on Astaro 3.2

Haplo Patryn,

it isn't possible to exclude it but you could
increase the default value for the alert in
/etc/wfe/conf/selfmonitoring to a workable
value - assuming you have enough RAM   [;)]  

read you
o|iver

Thanks for the info!  I have actually changed my methods here.  I was reluctant to run snort on my firewall, but at the time, it was the best place to put it to see all the traffic that was making it in to the network, and all that was passing out of the network.

I am now working on finishing an ipless BSD bridge that is just going to flow the packets to the firewall, and snort is going to be the only thing run there.  That way, I will see EVERYTHING to/from the hosts on my network, including things that would be dropped by the firewall.

Once again, thanks for the help!  Every little tidbit of information I can gain is very helpful.

Haplo

Is the value in bytes or Kbytes?

KiloBytes!

Can you or anybody else give me some pointers into making a project like you mentioned....ipless BSD bridge that just does snort. 

Here is a link on Snort's webpage for a FreeBSD install:   FreeBSD Snort Install 

If you are new to snort I recommend trying Demarc Security's personal edition of Snort (free for home use)  Demarc Snort Download .  This is not for power users, but a get your feet wet IDS solution for free home use.

You will also want to make you a one-way cable for your sensor (recieves packets only).  

Hope this helps.
    

I have been looking around and I have become a bit smarter  but I have noticed that making a ipless snort BSD box in combination with a PPPOE adsl modem is not possible or am i wrong. 

Anybody any solutions I can convert my pppoe modem to speak ppptp would this solve anything?

internet ---> PPPOE Modem ---> ipless BSD snort --->Linux firewall,router ---> Lan and DMZ 

It should be possible to set up a snort box with out IP ( I would have compiled the kernel without IP support). 

The snort box will be transparent and just shuffels the packets through after analysing them.

-+ lhe +-  

I've just finished building a content filtering bridge firewall. It's an IP-less bridge using iptables to QUEUE traffic for snort-inline. I use DROP rules to block traffic that is DEFINITELY bad. I've placed it inline between my Linksys router and my ASL box. I don't see any problem in putting it between your ADSL modem and ASL since it's IP-less. You can build your iptables chains to only allow traffic to your IP. Your NICs run in Promiscuous mode so Snort will see a lot of traffic.
I have mine running on a P-200, 128MBRAM, and it only uses about 9% CPU at 1.5Mb/s line speed. I used RedHat 8.0 for this one but am looking at trying Mandrake 9 for my next one since I've read that it installs fewer undesired packages at install. 

Put a hub between the DSL modem and the firewall (unless you have a switch that will span ports).  The hub will forward all packets to all ports.  If you make a one-way cable that will only receive packets for your IDS sensor, your Snort box will be completely invisible.