我想防止对我的nginx服务器的攻击。 如何通过snort将请求代理到nginx服务器。
NFQueue的是一个解决scheme。我能够传递数据包snort使用以下规则
sudo snort -Q --daq nfq --daq-var --daq-var queue=1 -c /etc/snort/snort.conf 现在我已经创build了队列
sudo /usr/sbin/iptables -t nat -I PREROUTING -j NFQUEUE --queue-num 1 sudo /usr/sbin/iptables -I FORWARD -j NFQUEUE --queue-num 1
这是足够的,否则我们需要做一些除此之外的其他事情。
Nginx运行在与snort相同的系统中。
如果你的问题是关于configurationSnort作为IPS来保护你的服务器,我相信你遵循正确的说明来设置它。 你创造的规则看起来是合法的。 如果你还没有做,那么你必须下载并保持规则是最新的(我认为PulledPork或Oinkcodes可能会有所帮助),并对其进行testing。 创build一个服务来启动/重启/停止Snort也会很方便。
如果你想知道使用Snort是否足以保护你的Web服务器,可悲的是答案是否定的…
有点偏题:根据你的情况,运行保护nginx / web-snort可能有点过大。 另外,一旦你在你的nginx中使用https,snort就没用了。
如果你的主要目标是防止networking攻击,那么你可能想要检查naxsi ,一个真正的快速waf解决scheme的nginx和远远优于mod_security,除了一些特殊情况。 还有一个扩展的naxsi规则集, doxi-rules ,来源于新出现的威胁 – snort-rules。