Nella configurazione delle regole di snort ho:
alert tcp any any -> any any (msg:"HTTP Connection"; react:block;)
Tuttavia quando aggiungo:
alert icmp any any -> any any (msg:"HTTP Connection"; react:block;)
mi dà un errore che react non è consentito per ICMP.
C'è un altro modo per abilitare questo?
Come posso bloccare i pacchetti in snort?
Snort non blocca i pacchetti. Snort è un sistema di rilevamento e prevenzione delle intrusioni.
L'opzione della regola React deve essere utilizzata con le connessioni TCP. La parola chiave react, quando corrisponde, genererà più pacchetti di reset su entrambe le estremità della connessione per abbatterlo.
Poiché ICMP è un protocollo datagramma che opera a livello di rete, non c'è modo di "abbatterlo". Se vuoi bloccare questi hai davvero bisogno di usare un firewall. :)