pb Snort

[stenka]

Salut à tous,

J'ai un pb avec Snort.
Je l'ai installé sur une machine de mon LAN, derrière un routeur-firewall.
Il se lance correctement, j'ai bien configuré les variables :
var HOME_NET 192.168.1.0/24
var ETERNAL_NET !$HOME_NET

Le pb c'est que je ne suis pas convaincu qu'il fonctionne correctement. En effet, par exemple, si je veux bloquer les sites porno, après activtion de porn.rules, il ne voit absolument rien (c'est pour l'instant un moyen simple de test et je dois dire un des objectifs principaux).

J'ai pourtant de temps en temps des alertes en provenance du réseau externe, mais peu et ce sont des faux positifs.
J'ai vérifié avec Ethereal le traffic du réseau, et tout est normal...
La variable HTTP_PORTS 80 est bien configurée dans snort.conf...
Bref il n'y a aucune raison, à priori, qu'il ne détecte rien !

Bref, je ne comprends pas pourquoi ça ne marche pas et j'ai bien l'impression que quelque chose dans ma config ne va pas.

Comme ça fait plusieurs jours que je cherche partout sur le net et dans les manuels, j'en ai marre et j'espère que vous pourrez m'aider !

Merci d'avance.

[samy_lg]

Salut,

A ma connaissance, SNORT ne bloque rien. Il detecte juste des attaques connus.

Pour bloquer des sites, il faut passer par un proxy filtrant.

[stenka]

Oui en fait j'ai utilisé le terme "bloqué", et tu as raison j'ai eu tort. Ce que je voulais dire, c'est que même la détection ne marche pas !

Et je n'ai toujours pas trouvé ce qui foire...