Snort规则配置问题

Question

嗨，我刚刚在debian上安装了Snort，并将它配置为随机实现，因为我不知道它为什么不运行，您能恢复一下我的Snort配置吗？我通过命令运行snort (在Debian 10上)：

/usr/local/bin/snort -q -u snort -g snort -c /etc/snort/snort.conf -i wlp3s0

由wi英特尔卡-ip发起：

192.168.0.17

我的snort.conf文件更改：

# Setup the network addresses you are protecting
ipvar HOME_NET 192.168.0.17/24

# Set up the external network addresses. Leave as "any" in most situations
ipvar EXTERNAL_NET !$HOME_NET

我还包括来自社区页面的snort基本规则和随机过滤器，但在结束过程中，我没有看到.

正如我说的，我在我的pcap中看到-它不工作：wireshark PCAP

Answer 1

在HOME_NET变量定义中，尝试使用ipvar HOME_NET 192.168.0.0/24。

使用机器的IP无法在此上下文中工作，因为HOME_NET用它的IPv4类定义来表示本地IP范围( /24表示第四个数字是可变部分，对应于类C)。

然后，Snort将考虑192.168.0.1和192.168.0.254之间的所有IP。