OpenVZ Forum


Home » International » Russian » Проблемы со Snort (Не могу запустить)
Проблемы со Snort [message #39127] Wed, 17 March 2010 15:01 Go to next message
virusystem is currently offline  virusystem
Messages: 4
Registered: March 2010
Junior Member
From: *fregat.net
Добрый день.
Пытаюсь который день запустить Snort, но увы безуспешнно.
После долгого изучения вроде бы нашел проблему это SLL в libpcap

Суть есть виртуальный интерфес venet0 c адресом 127.0.0.1
venet0:0 с нормальным адресом (статическим)
При запуске snort выдает:
pcap_loop: cooked-mode frame doesn't have room for sll header

И все. Что делать - не знаю. Подскажите пожалуйста

OC Fedora 7

[Updated on: Wed, 17 March 2010 16:06]

Report message to a moderator

Re: Проблемы со Snort [message #39157 is a reply to message #39127] Sat, 20 March 2010 11:03 Go to previous messageGo to next message
sHaggY_caT is currently offline  sHaggY_caT
Messages: 144
Registered: August 2008
Location: Moscow, Russian Federatio...
Senior Member

From: *shaggy-cat.ru
Попробуйте сеть типа veth с бриджом на Ваш настоящий интерфейс ноды. Если не получится, можно, имхо, поэксперементировать с

============== vzctl( 8 ) ===================
--capability capname:on|off
Sets a capability for a container. Note that setting capability when the container
is running does not take immediate effect; restart the container in order for the
changes to take effect. Note a container has default set of capabilities, thus any
operation on capabilities is "logical and" with the default capability mask.

You can use the following values for capname: chown, dac_override, dac_read_search,
fowner, fsetid, kill, setgid, setuid, setpcap, linux_immutable, net_bind_service,
net_broadcast, net_admin, net_raw, ipc_lock, ipc_owner, sys_module, sys_rawio,
sys_chroot, sys_ptrace, sys_pacct, sys_admin, sys_boot, sys_nice, sys_resource,
sys_time, sys_tty_config, mknod, lease, setveid, ve_admin.


IT-outsource for UNIX servers,
http://ha-systems.ru

[Updated on: Sat, 20 March 2010 11:04]

Report message to a moderator

Re: Проблемы со Snort [message #39158 is a reply to message #39157] Sat, 20 March 2010 11:53 Go to previous messageGo to next message
virusystem is currently offline  virusystem
Messages: 4
Registered: March 2010
Junior Member
From: *fregat.net
Добрый день. Есть некоторые проблемы с тем, что VPS - арендованый, а хостинг провайдер варит воду. Гооворит, что имеем то, что имеем.
Иными словами ничего менять не хочет.

Пересобрал libpcap на версию 1.0
После запуска tcpdump стал писать вот такое:
pcap_loop: corrupted frame on kernel ring mac offset 80 + caplen 244 > frame len 160

Проблема со Snort так и не решилась, т.е. пересборка libpcap результата не принесла.

Может этот вывод что-то Вам подскажет.

Спасибо.
Re: Проблемы со Snort [message #39159 is a reply to message #39158] Sat, 20 March 2010 12:08 Go to previous messageGo to next message
sHaggY_caT is currently offline  sHaggY_caT
Messages: 144
Registered: August 2008
Location: Moscow, Russian Federatio...
Senior Member

From: *shaggy-cat.ru
virusystem wrote on Sat, 20 March 2010 06:53
Добрый день. Есть некоторые проблемы с тем, что VPS - арендованый, а хостинг провайдер варит воду. Гооворит, что имеем то, что имеем.
Иными словами ничего менять не хочет.

Пересобрал libpcap на версию 1.0
После запуска tcpdump стал писать вот такое:
pcap_loop: corrupted frame on kernel ring mac offset 80 + caplen 244 > frame len 160

Проблема со Snort так и не решилась, т.е. пересборка libpcap результата не принесла.

Может этот вывод что-то Вам подскажет.

Спасибо.


На Вашем месте я бы попробовала развернуть тестовую ноду у себя (например, OpenVZ прекрасно работает под VirtualBOX и VmWare прямо на воркстанции), и дальше уже проверила, что нужно для работы Snort'а

З.Ы. А зачем _сетевая_ IDS в контейнере на чужой ноде??


IT-outsource for UNIX servers,
http://ha-systems.ru
Re: Проблемы со Snort [message #39160 is a reply to message #39159] Sat, 20 March 2010 14:11 Go to previous messageGo to next message
virusystem is currently offline  virusystem
Messages: 4
Registered: March 2010
Junior Member
From: *fregat.net
Добрый день. Snort - как часть IDS/IPS, для защиты сайта.
IP -белый.
Пробую развернуть, какой-то глюк с маршрутизацией.
Может подскажете? Smile
HN ip - 192.168.0.5/24
gw - 192.168.0.1
VE ip 192.168.0.10/24
gw 192.168.2.1

HN: ping 192.168.0.10 - ok
VE: ping 192.168.0.5 - ok
HN: ping google.com - ok
VE: ping google.com - unknown host
VE: ping 192.168.0.1
reply 192.168.0.5 - prohibition

В чем прикол - не понимаю.
Re: Проблемы со Snort [message #39161 is a reply to message #39160] Sat, 20 March 2010 14:27 Go to previous messageGo to next message
sHaggY_caT is currently offline  sHaggY_caT
Messages: 144
Registered: August 2008
Location: Moscow, Russian Federatio...
Senior Member

From: *shaggy-cat.ru
virusystem wrote on Sat, 20 March 2010 09:11
Добрый день. Snort - как часть IDS/IPS, для защиты сайта.





Имхо, tripware была бы больше к месту, чем сетевая IDS, но будет ли она работать в контейнере, не понятно...

virusystem wrote on Sat, 20 March 2010 09:11

IP -белый.
Пробую развернуть, какой-то глюк с маршрутизацией.
Может подскажете? Smile
HN ip - 192.168.0.5/24
gw - 192.168.0.1
VE ip 192.168.0.10/24
gw 192.168.2.1

HN: ping 192.168.0.10 - ok
VE: ping 192.168.0.5 - ok
HN: ping google.com - ok
VE: ping google.com - unknown host
VE: ping 192.168.0.1
reply 192.168.0.5 - prohibition

В чем прикол - не понимаю.


Подскажу, давайте разберемся.
Это тестовая нода?
Сеть в OVZ, если используется venet, лучше вообще не трогать, она сама заработает, если включить форвадинг, в sysctl:

net.ipv4.conf.default.forwarding=1
net.ipv4.ip_forward=1

потом sysctl -p (можно так же echo "1" > /proc/sys/net/ipv4/conf/default/forwarding но пропадет после ребута)

Править сетевые конфиги внутри VE так же не нужно.

Если же сеть veth, то настраиваете стандартно linux bridge, в bridge цепляете veth концы соединений на ноде, и сетевой физический интерфейс, внутри контейнера настраиваете eth[0-9] стандартным для дистрибутива VE образом.

Вы по какому мануалу в вике или user guide делали? Может, Вам ссылок дать (только бы знать, что Вы уже и как сделали)?


IT-outsource for UNIX servers,
http://ha-systems.ru

[Updated on: Sat, 20 March 2010 14:29]

Report message to a moderator

Re: Проблемы со Snort [message #39162 is a reply to message #39161] Sat, 20 March 2010 14:56 Go to previous messageGo to next message
virusystem is currently offline  virusystem
Messages: 4
Registered: March 2010
Junior Member
From: *fregat.net
Добрый день. Делал по вот http://wiki.openvz.org/Quick_installation
Ну а дальше стандартно
vzctl set 101 --ipadd 192.168.0.10 --save
vzctl set 101 --nameserver 192.168.0.1 --save

Что касается ip_forward 1 - писал не помогает Sad
Re: Проблемы со Snort [message #39164 is a reply to message #39162] Sat, 20 March 2010 16:13 Go to previous message
sHaggY_caT is currently offline  sHaggY_caT
Messages: 144
Registered: August 2008
Location: Moscow, Russian Federatio...
Senior Member

From: *shaggy-cat.ru
В соседней ветке были проблемы с работой сети в контейнере на ноде с Fedora.

Эта дока достаточно старая, поставьте на CentOS 5 таким же образом, именно на ней работает большая часть промышленных инсталляций OpenVZ и Virtuozzo

Если у Вас уже CentOS 5, покажите из какого прекешед темплейта Вы разворачиваете контейнер, покажите в контейнере и на ноде:

ip r ls

И попробуйте, что бы все IP (в том числе и шлюз) для упрощения ситуации были из одной подсети, а так же сбросьте iptables на ноде.


IT-outsource for UNIX servers,
http://ha-systems.ru
Previous Topic: Зависание системы (сети?) в ядрах старше 64.8 на CentOS
Next Topic: gentoo openvz настройка интернета
Goto Forum:
  


Current Time: Thu Jul 18 08:46:10 GMT 2019