Squid(transparent+ssl-bump) подключить snort

Снорт работает в режиме сниффера, то бишь на вход принимает сырой трафик. А при перехвате ссл сквидом дешифрованный трафик есть только внутри процесса кеша, вовне он не выходит, поэтому я не думаю что будет иметь смысл его перенаправлять в снорт.

Да, и чего ты добиться то хочешь?

Вроде бы хотел снифферить

дешифрованный трафик

, на наличие в пакетах текста-слово сочетаний, ловить пароли, может на утечку файлов по этим шифрованным каналам.. и тд.. в общем правила какиенть сделать и для этого snort подходит?..

Снорт работает в режиме сниффера, то бишь на вход принимает сырой трафик.

тоесть правила с физического до транспортного уровня.. а вот контроль прикладного..

может и правд надо лучше изучить правила squid и кажется SquidGuard

Вопрос просматривать пакеты дешифрованные squid и посылать-подделывать пакеты, например захотел пользователь скачать файл, а ему подсунуть другой файл..

, на наличие в пакетах текста-слово сочетаний, ловить пароли, может на утечку файлов по этим шифрованным каналам.. и тд.. в общем правила какиенть сделать и для этого snort подходит?..

Snort это IDS, я точно не помню есть ли там DLP модуль. И на траффик он напрямую влиять вроде не может, только тревогу поднимать.

Вопрос просматривать пакеты дешифрованные squid и посылать-подделывать пакеты, например захотел пользователь скачать файл, а ему подсунуть другой файл..

Это можно и в сквиде сделать, там правила достаточно гибкие.