Precisa ver qual é a sua real necessidade, as vezes pra fazer o que você quer não precisa ser pela camada 7. Pois geralmente as regras de camada 7 a gente aplica para servidores ou aplicações de forma geral, sem ter que fazer regras diferentes por grupos de usuários.
Mas de qualquer forma, da uma olhada la nas rules dele, vc vai ver que são feitas com base em variáveis como HOME_NET, EXTERNAL_NET, SMTP_SERVERS e assim por diante. Essas variáveis são definidas no snort.conf Você pode criar variáveis novas para utiliza-las nas regras ou mesmo criar regras personalizadas sem variaveis, ja colocando os ips direto na regra, vc quem manda. Olha aqui o exemplo: no snort.conf: var HOME_NET [192.168.0.0/24] var EXTERNAL_NET any As regras no Snort tambem obedecem a um modelo: <tipo_de_alerta> <protocolo> <rede_origem> <porta_origem> -> <rede_destino> <porta_destino> (Cabeçalho da Regra; Opções;9sid:X;...); Um exemplo bem simples de regra: alert tcp $EXTERNAL_NET any -> 192.168.1.0/24 111 (content:"|00 01 86 a5|"; msg:"mountd access";sid:11) Ai também tem o seguinte, eu uso o snort inline (ele ouve numa porta e eu logo no inicio do firewall faço um divert pra ele) dessa forma, na regra eu mudo o alert para drop, caso contrário ele apenas loga e não corta a conexão. Acho a melhor opção, porém tem o flexresp2 também, nativo do snort, onde ele envia um pacote por exemplo de reset para a origem e assim interrompe a conexão também (é configurável essa resposta, caso se interesse procure mais a respeito). O pf sense acredito que não vai ser descontinuado não. Ele não é um "concorrente do snort" é uma interface gráfica para escrever firewalls apenas. Boa sorte. abs. Em 24/09/2009, às 12:59, thiagomespb escreveu: > será que o snort faz regras por grupo de usuarios ou bloqueio geral ? > outra duvida é ele bloqueia aplicação ou o ip do usuario : > > No caso do pfsense eu olhei, tem na versao 2.0 tanto em freebsd > 7.2 ou 8.0 não sei se vão descontinuar não.. > > > 2009/9/24 Welkson Renny de Medeiros <welk...@focusautomacao.com.br>: >> Luiz Gustavo S. Costa escreveu: >>> O pfsense usa isso aqui: >>> >>> http://lists.freebsd.org/pipermail/freebsd-net/2008-July/019086.html >>> http://roadtoqos.wordpress.com/2008/11/13/ipfw-classifyd/ >>> >>> da uma olhada ai >>> >>> >> A solução é baseada no l7-filter do Linux, até as REGRAS são as >> mesmas. >> >> Eu não cheguei a testar, mas todos falaram que é bem legal. >> >> Patrick fez alguns testes mais pesados e o bicho não aguentou.... >> >> Pelo que vi só saiu essa versão mesmo, o desenvolvedor não fez >> nenhuma >> melhoria. >> >> -- >> Welkson Renny de Medeiros >> Focus Automação Comercial >> Desenvolvimento / Gerência de Redes >> welk...@focusautomacao.com.br >> >> >> >> Powered by .... >> >> (__) >> \\\'',) >> \/ \ ^ >> .\._/_) >> >> www.FreeBSD.org >> >> >> ------------------------- >> Histórico: http://www.fug.com.br/historico/html/freebsd/ >> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd >> > > > > -- > Thiago Gomes > ------------------------- > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > ------------------------- Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
