Suricata不丢弃数据包

Question

我安装了一个带有Suricata (169.69.1.11)的服务器，并有一个特定的规则：

drop ICMP any any -> 169.69.1.11 any (msg: "ping dropped";sid:10001;)

在其他VM中，我执行：

ping 169.69.1.11 -c 5

所以在这一点上，一切都很糟糕，因为pings到达了，而fast.log上没有任何注册，所以我在Suricata机器上执行。

sudo suricata -i enp0s8

在我的另一台机器上，我用相同的命令(5 pings )再平一次--似乎一切都还好，这5个键似乎可以到达，但是我查看Suricata /var/log/suricata/Quick.log上的日志--它删除了这一行。

03/25/2022-11:11:05.231735  [wDrop] [**] [1:10001:0] ping dropped [**] [Classification: (null)] [Priority: 3] {ICMP} 169.69.1.10:8 -> 169.69.1.11:0

为什么球会打而不被堵住？为什么我要点击5次，但只记录了一次？

Answer 1

我的第一个问题是我没有Suricata，首先用

sudo iptables -F

sudo iptables -I INPUT -j NFQUEUE 
sudo iptables -I OUTPUT -j NFQUEUE 
sudo iptables -I FORWARD -j NFQUEUE

并使用-D执行Suricata作为bg。

sudo Suricata -q 0 -D