我正在尝试 suricata ips。
当前可访问的 Web 服务器在端口 8891 上打开。
我在 suricata 规则中添加了以下内容以阻止到该服务器的流量。
drop tcp any any -> $HOME_NET 8891 (msg:"test drop msg"; classtype:misc-activity; sid:1000006; rev:1;)
并且还添加了 iptable 规则。
sudo iptables -I FORWARD -j NFQUEUE
然后我打开 IPS 模式并检查了 fast.log。
suricata -c /etc/suricata/suricata.yaml -q 0
25/8/2020 -- 13:52:02 - <Notice> - This is Suricata version 5.0.3 RELEASE running in SYSTEM mode
25/8/2020 -- 13:52:02 - <Notice> - all 18 packet processing threads, 4 management threads initialized, engine started.
tail -f fast.log
[wDrop] [**] [1:1000006:1] test drop msg [**] [Classification: Misc activity] [Priority: 3] {TCP} <IP addres> -> 192.168.0.98:32622
将显示 drop,但您已正常连接到 Web 服务器。
我以为如果我丢了它就无法连接。
如何阻止访问?