| |
| |
| |
| 4.7, Бхагавата (?), 02:03, 19/07/2005 [^] [^^] [^^^] [ответить]
| +/– |
Для Фри.
Скрипт, который "guardian_block.sh" запускай из bash, ибо там есть RANDOM, а номер вот этого срульза из rc.firewall:
# Prototype setups.
#
case ${firewall_type} in
[Oo][Pp][Ee][Nn])
setup_loopback
${fwcmd} add 35000 pass all from any to any
;;
сделай равным 35000.
Иначе все срульзы, заведенные Guardian'ом будут иметь черт какие номера. Одинаковые - некорректное удаление нарушителя по истечении времени из листа, или сядут ниже "всем всё" и не будут работать. А так будет то, что надо: срульзы нарушителей в диапазоне 1000-33000, "всем всё" - 35000.
"guardian_block.sh"
#!/usr/local/bin/bash
toguess="$(expr 1000 + $RANDOM)"
source=$1
interface=$2
/sbin/ipfw -q add $toguess deny ip from $source to any
| | |
| |
| |
| 6.9, Бхагавата (?), 01:04, 20/07/2005 [^] [^^] [^^^] [ответить]
| +/– | |
>Ух-ты! Развеееернуто :) Спасибо большое :)!
за плохими ребятами. Неочевидных, но полезных приколов в связке snort-acid-ipfw еще очень много. И в исходниках много чего надо подровнять. На статью нет времени. Так что давай ты. Изучай предмет и пиши хороший ФАК. | | |
|
|
|
|
|
| |
| 2.10, scum (??), 15:57, 20/07/2005 [^] [^^] [^^^] [ответить]
| +/– |
Кстати, можно сделать так, что 1 снорт и логи пишет, и в базу кладет и т.д.
Для этого нужно создать свое "композитное" правило с помощью директивы ruletype. Вот выдержка из мануала:
This example will create a rule type that will log to syslog and a MySQL database:
ruletype redalert
{
type alert
output alert_syslog: LOG_AUTH LOG_ALERT
output database: log, mysql, user=snort dbname=snort host=localhost
}
Теперь останется с помощью какого нибудь sed заменить все директивы log и/или alert в правилах на новую (redalert в вышеуказанном примере).
| | |
|
|
