この前、Snortがインストールできない件でお世話になりました、kounosukeです。
その後、このサイトに書いてある設定方法で、ほとんど問題なく(preprocessor portscan: $HOME_NET 4 3 portscan.logを入れるとデーモンが起動できなかったので、入れてませんが)進んだんですが、その後、w3m(テキストブラウザ)でWebを見ようとしたところ、なぜか、表示されず、Xを起動してブラウザを開きましたがダメでした。ネットワークに接続されていないのか確認したかったので、ローカル内のWindows PCでポートスキャンをしてみましたが、応答がありませんでした。ネットワークに接続されていないようです。
私のサーバは場所の関係で、有線LANが引けず無線LANを使っているのですが、まずそれを疑って設定を見てみましたが問題なく、試しに起動している状態でPCカードスロット(ノートパソコンです)から、無線LANカードを外して、再度入れたところ、なぜか接続できました。しかし数分後にまた繋がらなくなり外部からもWebサーバーなどにアクセスできなくなります。
それで試しにSnortをデーモンから外し、Snortをストップしてみると何故かネットワークに接続できるんです。
でもSnortは不審なアクセスのログを取る機能だけで、パケットを遮断する機能はないですよね??FlexRespなどのパケットを遮断する別モジュールを使えば別ですが、使っていないので。
それでちょっと気になってローカル内のWindows PCからサーバ(Web)へF5を押して、再読み込みを繰り返して、その間にサーバ機でSnortを起動したところ、数秒後にアクセスできなくなりましたので、Snortが原因なのは確実なんですが…
他の掲示板で聞いたところ、「sniffing用のドライバが何か干渉している可能性がある」との事だったんですが、まったくわからず、その後連絡が無くなってしまったので、少々調べたのですが、なかなかわかりません。
もしご存知の方がいましたら、sniffing用のドライバの事も含めてお手数ですが教えていただけると幸いです。
久しぶりにVine Linuxのホームページへ行ったところ、4.1がリリースされていたので、アップデートも兼ねて、最初からクリーンインストールしてみました、とりあえずインストール後にSnortをすぐ入れて、確認したところ、問題なく動作しました。何かと干渉していたのか、4.0に依存している問題なのか、わかりませんがとりあえず直ったみたいなので、このまま続けてみます。
やっぱりダメみたいです。なにも入れてなくても数秒後に繋がらなくなるみたいです。