Snort inline mit iptables

[Frank Guthausen (Club)]

Hallo LUG OWL.

Ich habe folgenden Effekt auf zwei Systemen mit Snort
Testkonfigurationen.

snort-test.conf
alert icmp any any -> any any (sid:23;msg:"ping ist da";)

iptables policy überall DROP
ESTABLISHED und RELATED werden durchgelassen.

iptables -A INPUT -p icmp -j QUEUE

snort -Q -i eth0 -l slog/ -c snort-test.conf

Rechner A	snort 2.8.0.2		Ableger von Ubuntu
Rechner B	snort 2.8.5.?		Fedora Umfeld


Beide Rechner werden von einem dritten Rechner angepingt. Rechner A
antwortet auf den Ping, im Log stehen Pakete mit ECHO und solche mit
ECHO REPLY. Ein
iptables -A INPUT -j DROP
ändert daran nichts. Snort macht anscheinend am Ende ein accept, kein
return. Auf das return müsste spätestens bei der policy ein drop folgen.

Rechner B antwortet nicht auf den Ping. Im Log steht der Ping nur mit
den ECHO Paketen. Hinter der QUEUE wird in INPUT der Ping explizit
durchgeschaltet. Ohne die QUEUE Regel pingt es einwandfrei. Snort macht
am Ende anscheinend ein drop, kein return. Auf das return würde ein
explizites accept folgen.

Sieht fast wie eine Inversion der durch QUEUE abgewendeten Zukunft für
das Paket aus.

Leider finde ich für Snort inline keine Minimalkonfiguration, um ein
identisches Verhalten zu reproduzieren. Möglicherweise sind mir auch
noch einige Firewallregeln im Weg, aber ich habe keinen Ansatz, worauf
ich achten muss. Ich bin mir ziemlich sicher, dass es sich um ein
triviales Problem handelt und ich den Wald vor lauter Bäumen nicht sehe.

Die Paketfilter filtern nur state NEW und geben einiges explizit an,
Snort sieht mindestens die eingehenden Pakete in beiden Fällen und ab
da bin ich derzeit ratlos und dankbar für alle Tipps, die mich in die
richtige Richtung stoßen.

Gruss
Frank