ipcop 1.3 et snort : test d'intrusion

[spindoctor]

bonjour à tous <IMG SRC="images/smiles/icon_wink.gif"> <BR> <BR>Je me penche en ce moment pas mal sur snort ... <BR>j'ai installé dans ma DMZ snort 2.0.1 sur une debian et j'ai configuré snort.conf avec quasiment toutes les règles... <BR> <BR>je le lance avec un script: en gros dedans: snort -c /etc/snort/snort.conf -D -o -e -A fast -m 022 -i eth0 <BR> <BR>sur ma DMZ y a un serveur ftp, apache sur 8080 ( mais HOME_NET de snort est config sur 8080 aussi) . <BR> <BR>sur ipcop je forward 21 et 20 vers mon serveur ftp et bien sur 80 vers 8080 sur mon serveur apache <BR> <BR>tout marche nickel... <BR> <BR> <BR>Maintenant j'ai chope au taf idswakeup sur ma debian (je suis donc total externe à mon réseau pour que les tests soient efficaces...) <BR>je l'ai lancé et il fait plein de tests sur http et ftp, il balance des paquets spéciaux (misc etc...) mais je n'ai pas tout ce que je veux sur les logs de mon IDS dans ma DMZ (pas d'intrusion au niveau FTP et HTTP à part des cmd.exe .. par contre j'ai pas mal de paquet speciaux qui ont été detecté....) <BR> <BR>normalement j'aurai du avoir des intrusion au niveau FTP au moins avec plein de tentatives sur apache.. mais ils y sont vraiment pas tous... <BR> <BR>qu'un a t'il deja eu ce pb? <BR> <BR>merci pour tout <IMG SRC="images/smiles/icon_wink.gif"> <BR> <BR>ps: sur les logs snort d'IPCOP j'ai rien de plus quasiment... <BR><BR><BR><font size=-2></font>