Fix những trở ngại của bạn không phải fix trở ngại của snort-inline mà chính là fix trở ngại của vmware --> sai mục đích bạn cần.
Thân mến. 

Em xin cám ơn anh conmale. Qua 1 tuần cấu hình, em đã thực hiện như sau:
- tiếp tục cài máy ảo trên phiên bản VW 6.0, kết quả thu đc vẫn ko có gì khả quan hơn.
- Cài trên máy thật, máy chạy fc 8 có cấu hình snort inline tương tự như trên. Trên máy này em cho chạy http cũng chỉ với 1 trang web index.html . (không dùng dns mà dùng trực tiếp địa chỉ ip)
Khi cho chạy snort ở daemon, file alert liên tục hiện thông báo có gói request từ máy test bên ngoài. nhưng ở máy test vẫn ko load được trang web. nếu bỏ iptables đi thì máy test load được bình thường.

vậy vấn đề mô hình mạng đc giải quyết nhưng vẫn bị lỗi cũ. mong anh góp ý giúp em
cảm ơn anh.
 

máy cài snort inline và máy test bên ngoài đc nối chung qua switch ( cùng ip address lan )
trên máy cài snort có chạy luôn httpd với chỉ 1 trang index.html
iptables trên máy cài snort inline chỉ có duy nhất:

iptables - I INPUT -p tcp --dport 80 -j QUEUE

các bảng khác đều accpet cả.

Nếu ko dựng iptables lên thì máy ngoài truy cập đc bình thường. nếu dựng iptables lên với chain trên thì máy ngoài ko truy cập được. máy chạy snort truy cập được bình thường.( trong file log full xuất hiện thông báo ip src và dest trùng nhau khi máy cài snort inline truy cập web). Còn nếu máy ngoài truy cập thì chỉ thấy xuất hiện các gói request với địa chỉ nguồn là địc chỉ máy ngoài. máy ngoài sau 1 hồi load thì ko truy cập được trong khi máy cài snort inline thì truy cập bình thường. 

iptables - I INPUT -p tcp --dport 80 -j QUEUE 

máy cài snort inline và máy test bên ngoài đc nối chung qua switch ( cùng ip address lan )
trên máy cài snort có chạy luôn httpd với chỉ 1 trang index.html
iptables trên máy cài snort inline chỉ có duy nhất:

iptables - I INPUT -p tcp --dport 80 -j QUEUE

các bảng khác đều accpet cả.

Nếu ko dựng iptables lên thì máy ngoài truy cập đc bình thường. nếu dựng iptables lên với chain trên thì máy ngoài ko truy cập được. máy chạy snort truy cập được bình thường.( trong file log full xuất hiện thông báo ip src và dest trùng nhau khi máy cài snort inline truy cập web). Còn nếu máy ngoài truy cập thì chỉ thấy xuất hiện các gói request với địa chỉ nguồn là địc chỉ máy ngoài. máy ngoài sau 1 hồi load thì ko truy cập được trong khi máy cài snort inline thì truy cập bình thường. 

thế này anh ạ, trước khi bị cái tcp này em có test với icmp. em cũng cho các packet icmp vào queue. nếu ko cho snort chạy thì ko ping đc từ đó em rút ra là sau phải có 1 chương trình nào đó xử lý các packet trong queue, còn không thì chúng cứ nằm trong đó. tuy nhiên lúc đó em không cho snort chạy ở chế độ daemon. điều em ko hiểu là tại sao với icmp thì snort chekc xong thì nó chuyển đi đâu đó cho máy phát sinh reply còn cái http request thì lại không như thế. snort giải quyết xong ko chuyển đi đâu cả hoặc có chuyển nhưng ko đến nơi. emcũng biết là các protocol khác nhau thì có các cách giải quyết khác nhau nhưng về cơ bản củng như nhau cả. snort giải quyết xong thì sẽ chuyển đi đâu đó.


em sẽ đọc thêm tài liệu về việc này. xin cảm ơn anh conmale và tranhuuphuoc đã góp ý cho em
 

What is snort_inline?
snort_inline is basically a modified version of Snort that accepts packets from iptables and IPFW via libipq(linux) or divert sockets(FreeBSD), instead of libpcap. It then uses new rule types (drop, sdrop, reject) to tell iptables/IPFW whether the packet should be dropped, rejected, modified, or allowed to pass based on a snort rule set. Think of this as an Intrusion Prevention System (IPS) that uses existing Intrusion Detection System (IDS) signatures to make decisions on packets that traverse snort_inline. 

thế này anh ạ, trước khi bị cái tcp này em có test với icmp. em cũng cho các packet icmp vào queue. nếu ko cho snort chạy thì ko ping đc từ đó em rút ra là sau phải có 1 chương trình nào đó xử lý các packet trong queue, còn không thì chúng cứ nằm trong đó. tuy nhiên lúc đó em không cho snort chạy ở chế độ daemon. điều em ko hiểu là tại sao với icmp thì snort chekc xong thì nó chuyển đi đâu đó cho máy phát sinh reply còn cái http request thì lại không như thế. snort giải quyết xong ko chuyển đi đâu cả hoặc có chuyển nhưng ko đến nơi. emcũng biết là các protocol khác nhau thì có các cách giải quyết khác nhau nhưng về cơ bản củng như nhau cả. snort giải quyết xong thì sẽ chuyển đi đâu đó.

em sẽ đọc thêm tài liệu về việc này. xin cảm ơn anh conmale và tranhuuphuoc đã góp ý cho em
 

Em xin cảm ơn 2 mod đã quan tâm giúp em đề tài này
nhiều ngày qua, em đã dựng mô hình và phát hiện ra có lẽ lỗi nằm ở dòng lệnh chạy snort_inline:
#snort_inline -c /etc/snort_inline/snort_inline.conf -Q -l /home -v
vì dựng mô hình nên cái iptable trên máy B có thay đổi đôi chút
iptables -I FORWARD -p tcp -j QUEUE
mô hình của em có 3 máy. 1 máy chạy snort inline có 2 card mạng (B). 1 máy web server nằm 1 bên (C) và 1 máy test(A).
A --- 10.0.0.0/8 ----B---- 192.168.1.0/24 --- C
em rút ra kết luận là khi chạy snort ở chế độ -v trong queue thì máy A ko truy cập web từ máy C được, mặc dù chạy trong chế độ daemon.
còn nếu em chỉ chạy:
#snort_inline -c /etc/snort_inline/snort_inline.conf -Q -l /home
thì máy A truy cập bình thường, hơi chậm vì request nằm trong queue. Điều em ko hiểu là tại sao khi tắt chế độ packet sniffer đi thì máy A lại truy cập web bình thường. có khả năng snort niff cái packet rồi ăn nó mất luôn không. Theo em nghĩ thì packer sniffer chỉ là lấy 1 bản copy của cái packet thôi. vậy có khả năng cái snort khi sniff cái packet trong queue rồi đưa nó đi mất luôn hay không ? nếu như vậy thì tại sao icmp và udp lại không bị. nhiều câu hỏi wá (