Здравствуйте, Уважаемые Знатоки)
Несколько дней подряд ломаю голову над установкой системы IPS Suricata на openvpn сервере. Задача слушать входящий в тунель vpn трафик и исходящий из него и блокировать вякую гадость.
В IPS режиме есть несколько вариантов работы: NFQ и AF_Packet. Как образом лучше реализовать эту задачу?
В режим NFQ создается очередь, которая передается для обработки сурикате. Как я понимаю это создает дополнительную задержку в скорости передачи данных( а скорость критична, тк через vpn идет трафик в тч и Sip-телефонии) + нужно заморачиваться с Iptables.
В режиме AF_packet суриката работает как сетевой мост между двумя интерфейсами. Но если ее подключать к tun0, то она не распознает зашифрованный трафик. Можно ли какими-то способами(напр, сетевой мост из виртуальных интерфейсов) поставить сурикату в разрыве между tun0(смотрит в vpn тунель) и eth0(смотрит в интернет), чтоб она детектила трафик с обоих сторон? Как это осуществить?
Возможно не следует отметать вариант с NFQ, если он не будет существенно снижать скорость.
Какой вариант проще всего осуществить и каким образом?
Простой
