Snort en modo Inline + iptables en Centos 5.2

Tema: 

Estimados todos,
Favor su ayuda. Me encuentro instalando un Sistema de Detección de Intrusos (NIDS), sobre Centos 5.2 encontré el siguiente rmp snort-2.8.3-1.RH5.i386.rpm trabaja bien en los modos de: Sniffer, Packet Logger, NIDS.

Se desea optimizar las seguridades con Iptables. Ahora se debe cambiar la librería libpcap por libipq. Por lo que se debe instalar esta última librería, ademas de LibNet. Por ello es necesario trabajar con otra distribución de snort snort-2.8.3.tar.gz. BAjada de www.snort.com

Al compilar esta fuente me indica un error que hace referencia a libcap, sim embargo se configuró que trabaje con la librería libipq. O sea:
./configure --with-libipq

ERROR! Libpcap library/headers (libpcap.a (or .so)/pcap.h)
not found, go get it from http://www.tcpdump.org
or use the --with-libpcap-* options, if you have it installed
in unusual place. Also check if your libpcap depends on another
shared library that may be installed in an unusual place

Puedo ver la librería esta instalada.
[root@server snort-2.8.3]# rpm -q libpcap
libpcap-0.9.4-12.el5

Por otro lado deseo actualziar la vs del iptables-1.3.5-4.el5 a iptables-1.4.1-rc2 para que se instale la librería. ./configure, make and make install ok. Pero la revisar con rpm -q iptables sigue viendo la misma versión. Con Yum -y update iptables no actualiza nada. Pero si registra la librería.
Me suponía que la fuente es independiente de las distribuciones de GNU/Linux.

Para afinar los reportes de snort, deseo ver los mismos en una interface gráfica. algo similra como BASE. Osea Snort + iptables + Mysql + Apache + PHP.
Creo que esto si es posible para Debian. No sé si sea factible en centos.

Gracias por su ayuda.

Comentarios

es por eso que no hay esa

Imagen de Epe

es por eso que no hay esa furia con el snort como había antes... es un tanto complejo en verdad..

Pero puedes hacer lo siguiente:
1- bajar un kernel vanilla y compilarlo con el soporte para netfilter de lo que desees
2- bajar un iptables (en tar.gz) y con el patch o matic parchearlo y compilarlo, te garantizo que no es agradable compilar el iptables.
3- bajar el resto de bibliotecas que hablas y compilarlas a tu medida
4- bajar el snort y compilarlo a tu medida
5- dejar todo el sistema, la base (iptables, kernel, algunas bibliotecas) fuera del esquema de rpms

Avísame cuando lo logres hacer.. tengo un curso que dictar y quisiera poder enseñar snort de forma fácil, pero no lo hay, no de forma simple.

Una curiosidad: por qué redhat ofrece los paquetes rpm de snort y el resto de cosas que indicas? Por algo ha de ser: tipicamente redhat soporta paquetes que serán estables durante los siguientes 7 años y que no tengan variaciones fuertes... así como que no tengan problemas de licencias...

Creo que debes buscar otras opciones.. quizá el snort es un tanto complejo? Quizá no. Mi opinion es que es bien jodidito. Te sugiero que trates no de compilar tar.gz porque después no podrás ofrecerlo para que otras personas lo usen, sino que compiles tus propios rpm, hasta snort te ofrece su src.rpm

Saludos
epe
--
NuestroServer.com
Ecuador: +(593) 9 9246504, +(593) 2 600 4454
USA: +1 305 359 4495, España: +34 91 7617884


Saludos
epe

EcuaLinux.com

+(593) 9 9924 6504

Servicios en Software Libre

Gracias Ernesto. El rpm de

Gracias Ernesto.

El rpm de RH5 me bajé directamente de www.snort.org.
Es más, también se puede bajar snort-mysql o snort-postgre.
Pero no habla nada del iptables será que ya viene integrado a este.

Como comentaba al instalar este trabaja sin problemas.
Pero como lo hago trabajar a snort en modo inline. ?

Puedo realizar un rpm -rbuilt a este rpm. ?

Por otro lado luego de :./configure make make install no presenta problemas pero no veo instalado con rpm -q snort.?
Pero si registra librerías.

Saludos