Snort barrando IP na "HOME_NET" ???

[DropALL]

Ai povos,

Curioso eu resolvi testar umas coisas apenas... :P

Quero rodar nessus de um ponto com IP FIXO, nos servidores que dou suporte e administro (no total mais de 40), todos eles possuem SNORT + Guardian.

Bem, o que acontece eh que eu estou colocando meu IP FIXO na HOME_NET para que eu pudesse scanear os ips sem ser detectado como ataque, porem o Snort continua detectando como ataque e acabo sendo barrado. :@: Alguem jah tento isso? :P :P :P

Valeu :P

[1c3m4n]

faz tempo q num uso snort, mas ai inves de botar ele na home_net, o snort tem uma variavel acho q eh "ignore_host" pra colocar outros ips

[DropALL]

Essa variavel IGNORE_HOST nao existe :P

mas tem a rule portscan-ignorehosts que jah usa o HOME_NET...


E deu uma luz que resolvi :P :P

com a variavel EXTERNAL_NET

var EXTERNAL_NET any

entao mudei para:
var EXTERNAL_NET ![200.xx.xx.xx/32]

Ele verifica tudo, menos o meu ip :P

[ruyneto]

Essa variavel IGNORE_HOST nao existe :P

mas tem a rule portscan-ignorehosts que jah usa o HOME_NET...


E deu uma luz que resolvi :P :P

com a variavel EXTERNAL_NET

var EXTERNAL_NET any

entao mudei para:
var EXTERNAL_NET ![200.xx.xx.xx/32]

Ele verifica tudo, menos o meu ip :P

Cara mudando um pouco o rumo do topico seguinte meu snort ta detectando muito a saida de requisições vinda de uma maquina de testes minha, para outras maquinas, sendo que essa maquina so tem ela na rede e so snort, tpo tem como fazer ele não logar essas requisições vinda da minha maquina??

falows

[DropALL]

Veio, para nao logar de jeito nenhum c faz o que eu fiz agora... poe a excessao no EXTERNAL_NET

[ruyneto]

Veio, para nao logar de jeito nenhum c faz o que eu fiz agora... poe a excessao no EXTERNAL_NET

Blz vo testar e depois te dou um toque.


falows

[DropALL]

Hum... compricado, jah nao tah barrando quase mais "nada", mas tem coisa que ainda tah barrando, tipo: "TFTP GET passwd"