Snort规则转换为iptables规则及fwsnort部署指南
1. 不支持的Snort规则选项
虽然iptables在很大程度上能够在Linux内核中模拟Snort规则语言的部分功能,但仍有许多Snort规则选项无法在iptables中找到合适的等效选项,以下是一些不支持的选项:
| 选项 | 说明 | 模拟方法及限制 |
| — | — | — |
| asn1 | 该关键字允许Snort将签名与解码后的抽象语法表示法一(ASN.1)数据关联,常用于SMB协议 | 目前无法在iptables中模拟其复杂处理 |
| byte_jump | 允许包数据决定Snort在进行下一次模式匹配或字节测试前跳过的数据字节数,适用于字段长度可变的协议(如DNS) | 可使用iptables的u32扩展模拟,但需等待u32扩展在2.6内核中可用 |
| byte_test | 使Snort能对包数据中的特定偏移量进行数值测试 | 可使用pcre选项模拟部分功能,但byte_test性能通常更好;u32扩展也可部分模拟,但2.6内核暂不支持 |
| flowbits | 用于Snort规则之间传递状态信息 | 可通过结合iptables的CONNMARK目标和字符串匹配扩展进行有限模拟,但fwsnort暂不支持;L7 - filter包分类器项目也可部分模拟 |
| fragbits | 允许Snort对IP报头中的分段位进行测试 | iptables通过 -f 参数判断包是否分段,但功能不如Snort强大;若开启连接跟踪,包会在iptables处理前自动重组 |
| isdataat | 指示Snort测试特定偏移量处是否存在数据 | 无合适ipta
