Iptables与Snort规则模拟及Fwsnort部署
1. Iptables状态匹配与规则应用
Iptables的状态匹配扩展提供了强大的数据包过滤功能。通过iptables -m state -h命令可以查看状态匹配的选项,其版本为v1.3.7,支持的状态选项包括INVALID、ESTABLISHED、NEW、RELATED、UNTRACKED等。以下是一个使用状态扩展的示例,用于在INPUT链中尽早接受已建立TCP会话的数据包:
[iptablesfw]# iptables -I INPUT 1 -p tcp -m state --state ESTABLISHED -j ACCEPT这个规则会在INPUT链的第一条位置插入一个规则,允许已建立的TCP连接的数据包通过。
2. Snort的Replace选项及Iptables实现
Snort的replace选项仅在Snort以inline模式运行且部署在数据包数据路径中时适用。在这种模式下,Snort成为真正的入侵预防系统,只有在数据包经过检测引擎检查后才会在受保护网络中转发。replace选项作用于应用层数据,允许将content选项
