我已经根据这里的文档在IPS模式下安装了suricata 4.0:
我可以用/etc/init.d/suricata start启动它,但是一旦我用/etc/init.d/suricata stop停止它,它就会丢弃与盒子的所有连接,并且不允许进一步的连接。 我跑过:
sudo iptables -A OUTPUT -j NFQUEUE & sudo iptables -A INPUT -j NFQUEUE
只有在启动B/C之后,如果我事先运行这些,才会发生同样的事情,所有连接都会被丢弃,我无法通过ssh回到盒子中。
它将重新启动(启用 iptable 规则),但在重新启动过程中连接处于保留状态(无法从其他位置键入或 ssh),虽然大约需要 5 秒,但它确实会成功返回。
这让我想到了几个问题,但让我们保持一个问题,如何在没有侦听读取NFQUEUE的情况下添加这些防火墙规则 由于 suricata 会转发或丢弃,我认为由于它们不会从队列中删除,因此永远不会进一步处理它们。
谢谢!
:拍打额头:
https://home.regit.org/netfilter-en/using-nfqueue-and-libnetfilter_queue/
您可以添加--queue-bypass。 我将要求更新文档。 我还没有走出困境,但已经过了这个问题。
最好