So, ihr habt also ein schickes IDS System das euren Netzwerk-Traffic
nach in mühevoller Handarbeit erstellen Regeln analysiert.
Nur zu Blöd das ihr es ausschl. zur Post-Mortem Analyse benutzen könnt.

Falsch!
Denn mit Snort2PF lässt sich das ganze ziemlich einfach in ein
sogenanntes "Intrusion Detection and Prevention System" verwandeln.
Ein solches System blockt die erkannten Angriffe praktischer Weise.

Wie das geht, wird hier beschrieben.


1.  Das Snort IDS installieren und einrichten,
    falls noch nicht geschehen.

2.  Nun wird ein Anchor namens "snort2pf" an
    strategisch geeigneter Stelle in der /etc/pf.conf [man 5 pf.conf]
    angelegt.

3.  Snort2PF downloaden,  entpacken und installieren.
      $ tar -xzpf faq_snort2pf.tgz
      $ cd snort2pf-3.1/
      $ chmod u+x install.sh
      $ ./install.sh

4.  Den Daemon starten.
        $ snort2pf -s 180 -f alert &
    Die Parameter bedeuten übrigends folgendes:
      -s seconds
        Wie lange Angreifer gesperrt werden sollen.
        (default: 1h)
      -f file
        Die Position von Snort's Alertfile.
        (default: /var/log/snort/alert)

+----------------------------
| Die neueste snort2pf-Version findet ihr hier:
|	http://prdownloads.sourceforge.net/snort2pf/snort2pf-3.4.tar.gz
| Diese ist aber erst ab OpenBSD 3.6 wieder lauffaehig!!!
+----------------------------

--
ssc