Instalei o snort e o guardian usando o guia aqui do underlinux, e deu tudo OK. Pelo o q eu entendi, o snort vai analizar o tráfego e colocar os alertas de acordo com as regras em /var/log/snort/alert, e o guardian vai ler esses alertas e através do iptables vai bloquear certo?
Pra fazer um teste eu criei um arquivo ssh.rules para alertar se alguem fizer ssh:
alert tcp any any -> 192.168.2.0/24 22 (msg:"acesso ssh"
entao rodei o snort e o guardian. O iptables esta rodando também. Tudo OK. Fiz um ssh pra uma maquina aqui da rede e consegui. Olhei no log alert do snort e estava lá:
[**] [1:0:0] acesso ssh [**]
[Priority: 0]
01/20-11:39:25.295478 192.168.2.114:35782 -> 192.168.2.60:22
TCP TTL:64 TOS:0x10 ID:19961 IpLen:20 DgmLen:52 DF
***A**** Seq: 0x8EAC6AA5 Ack: 0xBA5AB21D Win: 0x9F4 TcpLen: 32
TCP Options (3) => NOP NOP TS: 2825544 237702578
No guardian.ignore nao botei nenhum ip. O guardian não deveria ter bloqueado esse acesso? Ou não é assim que funciona o guardian? Alguém pode me ajudar?