|
ru.unix.bsd
- RU.UNIX.BSD ------------------------------------------------------------------
From : Yuri PQ 2:5010/2.2 16 Dec 2003 11:21:18
To : Valentin Nechayev
Subject : анализ логов snort'а
--------------------------------------------------------------------------------
Ку!
[031216] Valentin Nechayev (2:5020/400) Д> Yuri PQ (2:5010/2.2)
VN>>> Хотя snort составил мне совершенно отвратное впечатление. Запуск
VN>>> по дефолту начинает генерировать безумный поток мусора.
YP>> а не нужно запускать по дефолту. снорту нужно как минимум
YP>> объяснить сначала где у тебя "внутри", а где "снаружи"...
VN> В данном случае у меня было только одно "снаружи".
а прокси? тоже "снаружи"?
VN>>> Hапример, все запросы к прокси идут как попытка поиска прокси;))
YP>> естественно! телепатический модуль к снорту поставляется за
YP>> отдельные бешеные деньги.
VN> Если это у тебя юмор такой, то он плохо пахнет.
VN> OK, покажи, пожалуйста, как, _не трогая существующий набор правил в
VN> /usr/local/share/snort_ (я подчеркнул), задать ему в конфиге
VN> следующее: 1. Исключить реакцию на правила sid:399 и sid:407, но не на
VN> другие правила из icmp-info.rules.
тут ты прав, нет у него такой возможности. более того, основной конфиг лежит в
одном месте, а правила - в другом. это мне тоже не нравится. но не настолько,
чтобы отказаться от него. мне не трудно залезть в его правила и закомментарить
ненужное.
YP>> там масса переменных, причем не только означающих "внутри" и
YP>> "снаружи". есть еще масса "сбоку"...
VN> Hикакое "сбоку" тут мне не поможет.
так где же у тебя прокси, все-таки?
Ку! 8*{PQ}
--- GoldED 1.1.5-030118
* Origin: пожалуйста, не ушибитес адpесом! (2:5010/2.2)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
