1

我正在使用“snort_inline”,并使用 iptables 将所有数据包转发到 QUEUE,以便 snort_inline 可以根据规则提取它们进行检查和丢弃/警报。但是当以内联模式运行时,“Snort”是否也会接收来自 iptables 的数据包?在阻塞数据包方面,Snort 和 Snort_inline 有什么区别?我观察到,当我在不使用 iptables 的情况下运行“Snort”时,不知何故我的数据包被丢弃了。如果有人为我澄清这一点会很有帮助。谢谢 !

4

1 回答 1

1

snort_inline 已贬值,您应该将 Snort 与 DAQ 一起使用。带有 DAQ 的 Snort 可以处理相同的 Snort“丢弃”数据包。

DAQ 将支持几种不同的内联模式,iptables (nfqueue) 就是其中之一。

于 2012-07-28T06:49:38.740 回答