BSD/UnixFunker snort bak en firewall?( pfSense)

[Lindsay]

Ettersom det tar år og dager før ny versjon av smoothie kommer så tenkte jeg å legge inn pfSense på en atom basert 1U server.

 

Men spørsmålet er jo om snort vil fungere bak en firewall og ikke er avhengig av den offentlige IP sånn jeg har vært vant med hos smoothien og gurdian

[pitrh]

Ettersom det tar år og dager før ny versjon av smoothie kommer så tenkte jeg å legge inn pfSense på en atom basert 1U server.

 

Men spørsmålet er jo om snort vil fungere bak en firewall og ikke er avhengig av den offentlige IP sånn jeg har vært vant med hos smoothien og gurdian

 

Det egentlige spørsmålet her er hva som må til for at snort skal fungere gjennom NAT.

 

For meg høres det litt underlig ut, for min ytterst begrensede kjennskap til snort sier at den behandler den trafikken den ser, og hvis du kjører den på en maskin på som er bak en NATende gateway, så vil den vel i utgangspunktet bare se lokalnett-trafikken og eventuelle forbindelser som maskiner der tar initiativ til. Så kan man i tillegg sette opp diverse former for omdirigering, og dermed påvirke mengden trafikk en ser, men det skal i prinsippet være det samme uavhengig av hvilken brannmur du bruker.

 

Når det gjelder PF, så kan man klart gjøre verre ting enn å bla litt i tilgjengelig dokumentasjon som f eks http://home.nuug.no/~peter/pf/ som er en forløper til boken http://nostarch.com/pf2.htm (begge av undertegnede). Mer spesifikt for pfsense har man i tillegg til pfsense-fora boken som Buechler og Pingle skrev, http://www.reedmedia.net/books/pfsense/ (begge greit tilgjengelige også via f eks amazon).

[Lindsay]

Det jeg har funnet ut når det gjelder snort er att den kan enten overvåke inbound eller outbound og det er derfor jeg tenker å sette opp to. Uansett vil det ikke bli så strømslukende å ha to atombaserte til denne jobben

Endret 11. februar 2011 av Lindsay