Bom dia Senhores. Instalei o Snort com Flexresp2 e tudo mais. Minha duvida é a seguinte:
Instalei ele no gateway da rede(firewall) e nele tenho um nat 1:1 (binat do PF) apontando para meu servidor de email e tambem alguns redirecionamentos de portas para alguns serviçoes locais (nao tenho uma DMZ ainda). Nas variaveis do snort tem var HOME_NET 192.168.0.0/24 -> rede local var EXTERNAL_NET any -> posso colocar minha rede externa ou deixo como "any" mesmo? E nessas variaveis tenho o seguinte var DNS_SERVERS $HOME_NET var SMTP_SERVERS $HOME_NET var HTTP_SERVERS $HOME_NET essas variaveis para filtrar esses serviços apontam para rede local correto? porem esses serviços estao em endereços externos meu DNS 200.x.x.x meu SMTP é 200.x.x.x porem é um binat pra uma maquina local e HTTP tenho na porta 80 e 8080 porem 8080 é um redir para uma maquina local nestas variaveis coloco meus endereços externos ou mantenho do jeito que esta? Minha duvida alem destas acima é para filtrar os ataques/scans/etc tenho que rodar ele na interface externa correto? ja que parte dos serviços sao redirecionamentos e um binat ou o snort vai identificar e filtrar direto na interface externa usando essa conf a cima? Abraço a todos. Diogo Dalfovo ------------------------- Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
