Home » International » Russian » Проблемы со Snort (Не могу запустить)
| Проблемы со Snort [message #39127] |
Wed, 17 March 2010 15:01  |
virusystem
Messages: 4
Registered: March 2010
|
Junior Member |
|
|
Добрый день.
Пытаюсь который день запустить Snort, но увы безуспешнно.
После долгого изучения вроде бы нашел проблему это SLL в libpcap
Суть есть виртуальный интерфес venet0 c адресом 127.0.0.1
venet0:0 с нормальным адресом (статическим)
При запуске snort выдает:
pcap_loop: cooked-mode frame doesn't have room for sll header
И все. Что делать - не знаю. Подскажите пожалуйста
OC Fedora 7
[Updated on: Wed, 17 March 2010 16:06] Report message to a moderator |
|
|
|
| Re: Проблемы со Snort [message #39157 is a reply to message #39127] |
Sat, 20 March 2010 11:03  |
sHaggY_caT
Messages: 144
Registered: August 2008
Location: Moscow, Russian Federatio...
|
Senior Member |
|
|
Попробуйте сеть типа veth с бриджом на Ваш настоящий интерфейс ноды. Если не получится, можно, имхо, поэксперементировать с
============== vzctl( 8 ) ===================
--capability capname:on|off
Sets a capability for a container. Note that setting capability when the container
is running does not take immediate effect; restart the container in order for the
changes to take effect. Note a container has default set of capabilities, thus any
operation on capabilities is "logical and" with the default capability mask.
You can use the following values for capname: chown, dac_override, dac_read_search,
fowner, fsetid, kill, setgid, setuid, setpcap, linux_immutable, net_bind_service,
net_broadcast, net_admin, net_raw, ipc_lock, ipc_owner, sys_module, sys_rawio,
sys_chroot, sys_ptrace, sys_pacct, sys_admin, sys_boot, sys_nice, sys_resource,
sys_time, sys_tty_config, mknod, lease, setveid, ve_admin.
IT-outsource for UNIX servers,
http://ha-systems.ru
[Updated on: Sat, 20 March 2010 11:04] Report message to a moderator |
|
|
|
|
|
| Re: Проблемы со Snort [message #39159 is a reply to message #39158] |
Sat, 20 March 2010 12:08 |
sHaggY_caT
Messages: 144
Registered: August 2008
Location: Moscow, Russian Federatio...
|
Senior Member |
|
|
| virusystem wrote on Sat, 20 March 2010 06:53 | Добрый день. Есть некоторые проблемы с тем, что VPS - арендованый, а хостинг провайдер варит воду. Гооворит, что имеем то, что имеем.
Иными словами ничего менять не хочет.
Пересобрал libpcap на версию 1.0
После запуска tcpdump стал писать вот такое:
pcap_loop: corrupted frame on kernel ring mac offset 80 + caplen 244 > frame len 160
Проблема со Snort так и не решилась, т.е. пересборка libpcap результата не принесла.
Может этот вывод что-то Вам подскажет.
Спасибо.
|
На Вашем месте я бы попробовала развернуть тестовую ноду у себя (например, OpenVZ прекрасно работает под VirtualBOX и VmWare прямо на воркстанции), и дальше уже проверила, что нужно для работы Snort'а
З.Ы. А зачем _сетевая_ IDS в контейнере на чужой ноде??
IT-outsource for UNIX servers,
http://ha-systems.ru
|
|
|
|
|
|
| Re: Проблемы со Snort [message #39161 is a reply to message #39160] |
Sat, 20 March 2010 14:27 |
sHaggY_caT
Messages: 144
Registered: August 2008
Location: Moscow, Russian Federatio...
|
Senior Member |
|
|
| virusystem wrote on Sat, 20 March 2010 09:11 | Добрый день. Snort - как часть IDS/IPS, для защиты сайта.
|
Имхо, tripware была бы больше к месту, чем сетевая IDS, но будет ли она работать в контейнере, не понятно...
| virusystem wrote on Sat, 20 March 2010 09:11 |
IP -белый.
Пробую развернуть, какой-то глюк с маршрутизацией.
Может подскажете? 
HN ip - 192.168.0.5/24
gw - 192.168.0.1
VE ip 192.168.0.10/24
gw 192.168.2.1
HN: ping 192.168.0.10 - ok
VE: ping 192.168.0.5 - ok
HN: ping google.com - ok
VE: ping google.com - unknown host
VE: ping 192.168.0.1
reply 192.168.0.5 - prohibition
В чем прикол - не понимаю.
|
Подскажу, давайте разберемся.
Это тестовая нода?
Сеть в OVZ, если используется venet, лучше вообще не трогать, она сама заработает, если включить форвадинг, в sysctl:
net.ipv4.conf.default.forwarding=1
net.ipv4.ip_forward=1
потом sysctl -p (можно так же echo "1" > /proc/sys/net/ipv4/conf/default/forwarding но пропадет после ребута)
Править сетевые конфиги внутри VE так же не нужно.
Если же сеть veth, то настраиваете стандартно linux bridge, в bridge цепляете veth концы соединений на ноде, и сетевой физический интерфейс, внутри контейнера настраиваете eth[0-9] стандартным для дистрибутива VE образом.
Вы по какому мануалу в вике или user guide делали? Может, Вам ссылок дать (только бы знать, что Вы уже и как сделали)?
IT-outsource for UNIX servers,
http://ha-systems.ru
[Updated on: Sat, 20 March 2010 14:29] Report message to a moderator |
|
|
|
|
|
| Re: Проблемы со Snort [message #39164 is a reply to message #39162] |
Sat, 20 March 2010 16:13 |
sHaggY_caT
Messages: 144
Registered: August 2008
Location: Moscow, Russian Federatio...
|
Senior Member |
|
|
В соседней ветке были проблемы с работой сети в контейнере на ноде с Fedora.
Эта дока достаточно старая, поставьте на CentOS 5 таким же образом, именно на ней работает большая часть промышленных инсталляций OpenVZ и Virtuozzo
Если у Вас уже CentOS 5, покажите из какого прекешед темплейта Вы разворачиваете контейнер, покажите в контейнере и на ноде:
ip r ls
И попробуйте, что бы все IP (в том числе и шлюз) для упрощения ситуации были из одной подсети, а так же сбросьте iptables на ноде.
IT-outsource for UNIX servers,
http://ha-systems.ru
|
|
|
|
Goto Forum:
Current Time: Thu Nov 07 05:25:26 GMT 2024
Total time taken to generate the page: 0.03270 seconds
|
OpenVZ Forum
Members
Search
Help
Register
Login
Home
