snort + tx-кабель

пардон, в сабже rx - кабель

> работающий только на прослушивание пакетов

Может я что-то не понял, но tx - transmit а не прослушивание...

2fuzk: см. пост 1

Зачем такие сложности?

Убери на интерфейсе, который слушает DMZ, IP-адрес и запрети на нём же ответы ARP - и получишь практически то же самое, но без гемора.

>Убери на интерфейсе, который слушает DMZ, IP-адрес и запрети на нём же >ответы ARP - и получишь практически то же самое

А можно немного подробнее? убрать ип адрес, это значит поставиь какой- то левый? Или как правильно? Спасибо.

и еще вопросик, где правильно в DMZ сети разместить snort? должна ли при этом DMZ сеть быть на хабе, а не на свиче? А если она на свиче, тогда получается что установить snort на отдельную машину не имеет смысла?

> А можно немного подробнее? убрать ип адрес, это значит поставиь какой- то левый? Или как правильно? Спасибо.

Убрать - значит убрать совсем.

К интерфейсу может быть привязан один IP-адрес, несколько IP-адресов или ноль IP-адресов. Тебе нужен третий случай.

Читай раздел 3.1 в snort FAQ: http://www.snort.org/docs/FAQ.txt

Убрать IP-адрес с интерфейса можно AFAIK так:
# ifconfig eth0 0.0.0.0

> и еще вопросик, где правильно в DMZ сети разместить snort? должна ли при этом DMZ сеть быть на хабе, а не на свиче? А если она на свиче, тогда получается что установить snort на отдельную машину не имеет смысла?

Лучше всего поставить между файрволлом и свитчом сети DMZ отдельный хаб, в который и воткнуть snort.