我在iptables中设置了以下规则:
sudo iptables -I INPUT -i eth0 -p tcp -s 192.168.37.184 -j NFQUEUE sudo iptables -I OUTPUT -p tcp --dport 3306 -j NFQUEUE 我想要做的就是把所有的Mysqlstream量数据转发到NFQ,我希望在Suricata中检测到这些数据,但是这些iptable规则并没有像预期的那样工作, 只有部分 NFQ 中的数据进入了Suricata(或者只是数据的一部分进入NFQ)。 但是当我设置下面的iptables:
sudo iptables -I INPUT -j NFQUEUE sudo iptables -I OUTPUT -j NFQUEUE
这个效果很好,所有的软件包都进入了NFQ,所有的都被Suricata检测到,但是这个iptable规则将所有的stream量转发到NFQ上,这不是我想要的。
我的问题是如何设置特定的iptables规则只适用于Mysql协议?
检查你是否加载了NFQ内核模块:
lsmod | grep nfnetlink_queue
检查包是否符合这些iptables规则
sudo iptables -vn -L
为了使用MySQL的Suricata目标,下面的代码应该可以工作:
sudo iptables -I INPUT -p tcp --dport 3306 -j NFQUEUE sudo iptables -I OUTPUT -p tcp --sport 3306 -j NFQUEUE