Всем привет.
Есть вопрос к знающим людям.
Есть такая IPS Snort, она прекрасно генерирует алерты по опредленным правилам - ну как пример из интернетов:
правило:
alert tcp any any -> any 11110 (msg:«TEST log 11110/tcp»; sid:1111110;)
и генерирующийся алерт:
[**] [1:1111110:0] TEST log 11110/tcp [**] [Priority: 0] 10/21-13:54:00.966472 x.x.x.x:33286 -> y.y.y.y:11110 TCP TTL:58 TOS:0x10 ID:18299 IpLen:20 DgmLen:60 DF ******S* Seq: 0x8427E310 Ack: 0x0 Win: 0xFFFF TcpLen: 40 TCP Options (5) => MSS: 1460 NOP WS: 3 SackOK TS: 3276482866 0
Что хочется, чтобы не только генерировался алерт, а чтобы еще выполнялось некое действие (скажем дергается скрипт, который на лету подправляет правило фаервола - например форвардить пакет куда-нибудь). Так вот _готового_ решения я не смог найти, есть некие плагины для snort - snortsam, они позволяют работать с фаерволами, но только чтобы блочить, а этого мне мало.
Собственно вопрос - есть ли готовые решения, или придется что-то велосипедить, что будет скажем постоянно парсить вывод алертов и по этим делам уже запускать необходимое действие. Или все таки есть то что я хочу, просто это надо найти, взять и использовать?
Всем спасибо.
