He instalado el snort con soporte de mysql y el acidlab, la base de datos mysql me la utilizan el snort y el acidlab sin ningún problema, pero en el snort solo veo las siguientes alertas:
#39-(1-40) BAD TRAFFIC loopback traffic 2004-02-22 16:57:13 127.0.0.1:80 62.42.xxx.xxx:1361 TCP
Así hasta unas 107 en cosa de una hora, me he escaneado desde otro ordenador, pero no aparece ni rastro en el snort, tambien he deshabilitado el portsentry por si estuvise bloqueando los intentos de acceso, el firewall tampoco es por que tambien lo he parado, escaneado desde otro ordenador remoto y vuelto a arrancar.
La configuracion principal es como sigue:
_______________________________________________
#snort.conf
var HOME_NET 192.168.1.0/24
var EXTERNAL_NET any
var SMTP $HOME_NET
var HTTP_SERVERS $HOME_NET
var SQL_SERVERS $HOME_NET
var DNS_SERVERS $HOME_NET
output database: log, mysql, user=xxxx password=xxxx dbname=snort host=localhost
_______________________________________________
#snort.debian.conf
DEBIAN_SNORT_STARTUP=boot
DEBIAN_SNORT_HOME_NET="192.168.1.0/24"
DEBIAN_SNORT_OPTIONS=" -i eth1 -p"
DEBIAN_SNORT_STATS_RCPT="xxxxx"
DEBIAN_SNORT_STATS_TRESHOLD="1"
_______________________________________________
El interface de la red local es eth0 y el de internet eth1.
La configuracion del acidlab está bien por que las alertas que veo con el son las mismas que se ven en la base de datos y las mismas que se ven en /var/log/snort/alert:
[**] [1:528:2] BAD TRAFFIC loopback traffic [**]
[Classification: Potentially Bad Traffic] [Priority: 2]
02/22-18:17:31.675191 127.0.0.1:80 -> 62.42.xxx.xxx:1388
TCP TTL:121 TOS:0x0 ID:30287 IpLen:20 DgmLen:40
***A*R** Seq: 0x0 Ack: 0x2A4F0001 Win: 0x0 TcpLen: 20
Bueno, a ver si a alguien se le ocurre que puede ser, si hace falta alguna configuracion mas solo pedirlo.
-= Un saludo =-