Re: Xen + Snort

Wed, 15 Jul 2009 07:44:56 -0700 

Bonjour,
Il me semble que l'interface physique est renommée en peth0 par Xen.

D'autre part, les "bonnes pratique" recommandent de n'installer que le
strict minimum sur le Dom0, puisqu'il est privilégié.
Installer Snort dans un DomU serait peut-être plus adapté.

Cordialement,
JB


Cornichon a écrit :
> Salut à tous,
> 
> On dispose d'un parc serveurs virtualisés par xen (2.6.26 amd64 - lenny).
> Sur la machine dom0, voici le début la chaine forward (par défaut) :
> 
> Chain FORWARD (policy ACCEPT)
> target     prot opt source               destination
> ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           PHYSDEV
> match --physdev-in vif1.0
> ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           PHYSDEV
> match --physdev-in vif1.1
> ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           PHYSDEV
> match --physdev-in vif2.0
> ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           PHYSDEV
> ....
> ....
> 
> 
> L'interface qui m'intéresse est eth0 (DMZ) :
> eth0      Link encap:Ethernet  HWaddr 00:05:5d:2c:13:ff
>           UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
>           RX packets:1269 errors:0 dropped:0 overruns:0 frame:0
>           TX packets:7 errors:0 dropped:0 overruns:0 carrier:0
>           collisions:0 lg file transmission:0
>           RX bytes:46584 (45.4 KiB)  TX bytes:569 (569.0 B)
> 
> 
> Pour être plus clair, eth0 est bridgée et permet aux différentes
> machines virtuelles d'avoir leur propre IP sur le réseau.
> Bien que toutes les données des domU passent par eth0, on n'y voit aucun
> traffic : RX bytes:46584 (45.4 KiB)  TX bytes:569 (569.0 B)
> 
> 
> J'en viens maintenant à l'IDS. On voudrait placer un snort sur le dom0,
> qui écoute eth0.
> Mais le problème est que le trafic ne semble pas être "capté" par eth0.
> Quelles solutions s'offrent à nous?
> 
> 
> J'espère avoir clair dans mes explications..
> Merci pour vos lumières.
> 

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org

Répondre à