防火墙和IDS哪个先截获包?

iandyouandhe

唉!没有人回答!

bx2aa

(BIG5)
3 computer
firewall 192.168.1.2
snort 192.168.1.3
pc 192.168.1.4
三部 PC 接同一部 hub

pc ping snort
firewall 沒有收到
pc ping firewall
ids 收到 192.168.1.4 ping 192.168.1.2 的 ICMP 包

iandyouandhe

pc ping snort的情况下, firewall肯定
收不到(除非你把firewall设定为pc的网关).

而snort里面网卡被设置成混杂模式, 如果
是共享式HUB的话它自然能收到所有的数据
包.

另外, 我上面的问题是IDS(snort)和firewall
(ipchains)在同一台机器里面, 和你的环境不
太一样.

其实我以前也问过一位"高手", 他直接告诉我
说"没有把firewall和ids装在一台机器里面的.
你把它们装在两台机器里面不就完事了吗!"
我倒....

iandyouandhe

敬请高手指点!!!

iandyouandhe

拜托各位了!
也许很多人非常想了解这个问题.

alnjip

我也想知道!
顶!!!

ioerr

我也觉得应该把防火墙和IDS装到不同的机器里面

印随

谁先获得可能是不确定的

如果安装了Snort，数据包到达主机的时候，在内核里就会被复制一份，
一份通向FW，一份通向Snort

tian930

前面有哥们已经说的很清楚了，不过我自己想想还是觉得有点不妥！
如果你把snort设置成混杂模式，那么就是说他会捕捉差不多所有的包，既然这样那么肯定是snort先捕，防火墙后捕获（对于绝大多数的数据来说是这样）！如果你把snort设置成个别特殊的那就不一定了！我的这个结论也是根据5楼（这哥们既然这么肯定的说snort是工作在二层，而高手都只会跟咱们指点一下，那么我们应该相信他）和12楼哥们的实验和自己想到的结合后得到的！这个解释应该还算过的去吧？

最后我想问问7楼的哥们，您这把IP层放到二层是根据什么原理啊？TCP/IP四层来分的呢？还是根据OSI七层来分的？不过好像这两个里面都不能把Ip协议放二层吧？？难道是传说中的新协议？

人生目标

感谢楼主介绍啊