提问人:admfotad 提问时间:7/20/2023 更新时间:7/21/2023 访问量:62
Suricata 内联模式 (netfilterqueue) 问题与 http.host 删除
Suricata inline mode (netfilterqueue) problem with droping by http.host
问:
我有 suricata 在内联模式下运行:
/usr/bin/suricata -c /etc/suricata/suricata.yaml -q 0 --pidfile /run/suricata.pid
iptables 配置链 'forward'、'input' 和 'output' 配置如下:
iptables -L | grep NFQUEUE
NFQUEUE all -- anywhere anywhere NFQUEUE num 0
互联网访问工作正常,因此 suricata 日志记录。问题是使用 http.host 断开与特定 www 站点的连接。我的规则如下所示:
drop http $HOME_NET any -> $EXTERNAL_NET any (http.host; content:"www.wp.pl"; msg:"matching HTTP denylisted FQDNs";)
不知道我的规则有什么问题,也不知道应该启用什么其他 suricata 设置,但此规则不起作用。drop 连接的其他测试规则运行良好:
drop icmp any any -> 1.1.1.1 any (msg:"ICMP detected and blocked";SID:123456;rev:1;)
07/20/2023-16:29:10.706271 [Drop] [**] [1:123456:1] ICMP detected and blocked [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.4.12:8 -> 1.1.1.1:0
07/20/2023-16:31:26.426087 [Drop] [**] [1:123456:1] ICMP detected and blocked [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.4.12:8 -> 1.1.1.1:0
any1 知道我做错了什么吗?
先谢谢你
广告
答:
1赞
IDSTower
7/21/2023
#1
我试图访问您在规则 (www.wp.pl) 中提到的网站,并被重定向到 https://www.wp.pl(注意 https)。
这意味着网站使用的协议是 tls 而不是 http,因此要有效地阻止此网站,请为 tls.sni 关键字的 tls 协议添加另一个规则。
评论
0赞
admfotad
7/21/2023
谢谢你的帮助。你的回答对我有很大帮助,放弃规则终于起作用了。祝你今天开心。
评论