bom eu uso o snort+theguardian aqui eles parecem estar funcionando bem.. o problema foi q eles travaram usuario interno, eu gostaria q apenas bloqueiem ip´s externos
o alert aponta isto
[**] [1:408:5] ICMP Echo Reply [**]
[Classification: Misc activity] [Priority: 3]
08/31-12:06:04.633576 192.168.1.10 -> 192.168.1.254
ICMP TTL:128 TOS:0x0 ID:43266 IpLen:20 DgmLen:84 DF
Type:0 Code:0 ID:39289 Seq:24578 ECHO REPLY