Suricata 셋팅 다시 했네요... 힘들었습니다. ㅎㅎ
주말 내내 이것 잡고 셋팅 했네요. 오늘 월요일 저녁부로 마무리 했는데...
잘 될런지 모르겠습니다.
우선 인라인 모드가 침입 시도가 자꾸 있어서... 레가시 모드로 바꾸어 봤는데... 어후~
이건 내부 IP를 전부 잡더군요...ㄷㄷㄷ 오탐이 너무 심했습니다.
찾아보니 그래서 나온게 인라인모드 같더라구요. 대신에 랜카드가 인라인 모드를 지원해야 합니다.
안그러면... 안되요. 인텔랜이 그래서 좋죠...~ ㅎㅎ
우선 시스템 네트워크에 가서 하드웨어 오프로딩 전부 체크 해서 디져블 시켜주고...
# 대신 이렇게 해주면 Package Manager에 패키지가 제대로 안나올수 있습니다.
ALTQ는 껐습니다. 이거 켜면 성능이 향상 된다는데... 블락이 안되는거 같더라구요.
두번째로 SID 옵션에 가서... Enable에 룰을 전부 넣어 주었습니다. 그랬더니 자동 그러니까 오토로 활성화가 되네요...ㄷㄷㄷ
이렇게 해야 하는 것 같습니다.
A라는 아이콘이 파랗게 뜨면서 오토가 됩니다.
이렇게 룰을 전부 넣어 주시면 됩니다.
그리고 나서...
dripsid.conf 에도 넣어 주시면 인라인 모드에서는 드롭이 되더라구요.
저는 그냥 sample 이름 안바꾸고 바로 넣었습니다. ㅎㅎ
이렇게 넣어주면... 드롭이 됩니다. ㄷㄷㄷ
이렇게요...~
그리고 막히는게 있으면...
Suppress 에 추가 해 주면 됩니다.
이렇게요.
그리고 Suricata 인터페이스의 Suppress 메뉴에서 켜주시면 됩니다.
저는 일단 P2P쪽은 서프레스 해놨는데 인라인 모드는 Passlist가 없어서 서프레스 밖에 안되나 봅니다.
그리고 저의 경우 브릿지 투명 방화벽이라... BRIDGE가 아닌 개별 LAN에 적용해 주었는데...
2개씩 묶음이다보니 WAN에도 각각 넣어서 6개 붙여 봤는데 ㅎㅎ (하나는 VLAN) 작동이 되긴 되네요.
뭐 어딘가 시작이 지나면 막힐거 같은데요...ㅋㅋ
#일반적으로 LAN에 넣어 주시면 됩니다. 저는 투명방화벽으로 BRIDGE로 묶은것이라서...
BRIDGE라면 LEGACY 밖에 안되고 인라인을 쓰려면 브릿지로 묶은 둘중 하나에 연결하라고 하더라구요.
우선은 LAN쪽으로 묶었었는데... 두개 모두 WAN LAN 구성해도 되긴 합니다.
브릿지 아니고 WAN - LAN 구성이면 LAN 하는게 맞다고 합니다.
시피유는 6개 붙이면 이 정도 사용합니다. 더 오를때는 30프로 정도 까지?
이게 침임도 중요한데... 오탐 때문에 막히는 것도 중요하네요... 계속 씨름중입니다. ㅎㅎ
netagte 개발자가 홈랩에서는 세밀하게 해야 하는 셋팅의 문제로 추천하지 않는다 하던데...ㅎ
저번 달소님 말씀마나 한번 해두면 쭉 가지고 가는거라... 어쨌든 완성해 봐야 겠습니다.
지금도 글 쓰는 순간 몇 사이트 막힌거 같아요...ㅋㅋ
아! 곧 추석인데 즐거운 명절 되세요.~
HTTP 프로토콜이라면 제가 만들어둔 코드를 통해 올게 뻔하니 주로 커스텀 헤더를 묶어서 S2S 구조로 받는다던지, (이 경우에는 robot.txt나 sitemap을 제외하곤 대부분 여기서 막힙니다.), 다른 프로토콜이면 TCP푸터 뒤에 조금 붙여서 받는다던지(RUST로 해석해서 받습니다)..
원래.. 막는쪽보다 뚫는쪽이 더 쉽다고.. 완벽한 보안은 없습니다
해당 상태에서 연결을 맺을 수 없는 상황이 된것이지(대상 TCP/UDP프로토콜로 이동하지 않을 뿐.) 연결이 거꾸로 돌아가는 행위는 발생하지 않아요.
제가 보기에는 라우터 룰에서 Reject가 아니라 서브라우팅이나 게이트웨이를 거치는쪽으로 L3행위를 한다면, 가능성은 있겠지만야... 보통은 그렇게 만드는 회사는 거의 없습니다!
제가 시스코 스위치로 수동설정 할 때나 그랬던 기억이 나네요
만약 그런 케이스가 자주 보인다면, 라우팅 테이블을 GUI에서 설정된 정책을 잘 보셔야 하지 않을까 싶습니다.
L3는 라우터지, 방화벽이 아니다 보니 방화벽 기능이 어떤식으로 동작할지는 봐야 알겠네용..
이런 장비 없이 사용하는 제 PC에는 전세계 사람들이 들락날락거리고 있는건가요........
cmt alert