Com o snort você ativa o snortsam e aplica o patch. Daí tudo que o snortsam achar na regra especifica que você alterar(você adiciona no rules/nome_da_regra uma flag pra o snortsam analisar), ele cria uma table.
Assim, o snortsam coloca na table 1 e 2(por exemplo), tudo que for detectado na entrada e saída da rule que você mandar. Aí você poe no ipfw uma regra: Ipfw add 1 deny all from table(1) to any via interface_interna Ipfw add 2 deny all from any to table(2) via interface_externa. Com isso você pode mandar o snortsam pegar skype,msn,kazaa,vulnerabilidades do IIS, etc etc, tudo que as assinaturas dele pega :) Esta opção do divert é mais simples ainda, mas não testei. Inté > -----Original Message----- > From: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] On > Behalf Of Welkson Renny de Medeiros > Sent: quarta-feira, 27 de dezembro de 2006 15:53 > To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) > Subject: Re: [FUG-BR] Converter regra IPTABLES x PF (ou IPFW) > > Como falei, pode ter sido "ignorância" minha... mas o que eu quis dizer > é > que nunca vi a tal "rule" que pelo menos detecta o skype... porque se > detectar o resto é tranquilo, no lugar do snort_inline eu uso o ossec, > ele > analisa as regras do snort e já inclui o ip do possível atacante no > firewall > (ipfw)... > > ------------------------- Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
