IPS
1、Suricata 本身是不具有拦截功能的,想要让它拦截包需要配合 iptables 使用。 首先要确定安装的suricata是否支持IPS模式,如果在安装编译的时候没有启用IPS模式,NFQueue默认为no
通过命令:suricata --build-info
2、需要重新编译安装,然后参照
./configure --enable-nfqueue --prefix=/usr --sysconfdir=/etc --localstatedir=/var
3、编译后查看
4、首先,需要设置 iptables 的 NFQUEUE,,以让 Suricata 能访问到相应的数据包,可以使用如下命令:
sudo iptables -I INPUT -p tcp -j NFQUEUE sudo iptables -I OUTPUT -p tcp -j NFQUEUE
5、随后使用如下命令让 Suricata 以 IPS 模式运行(其中,-q 说明以 IPS 模式运行):
sudo suricata -c etc/suricata/suricata.yaml -q 0
注意:在不使用 Suricata 的时候,记得要 sudo iptables -F 清除配置,不然机器就没法使用 tcp 了