freebsd系统常用功能安装配置说明

系统安装配置指南

一.操作系统安装过程

为了在原有的snort基础上扩展到IPS功能，于是乎想利用snort_inline来做，虽然还有类似的snortsam、guardian之类的snort插件，不过既然snort 后续版本自带了inline模式，那就还是先用inline吧～

1.1. 安装操作系统

CentOS：CentOS-5.2-i386-bin-DVD.iso

Server版本，安装好gcc等各类开发工具。

安装freebsd 7.2

1、系统打补丁

配置ip地址网关、DNS

freebsd-update fetch install

reboot

portsnap fetch extract

ntpdate

二.SNORT安装配置过程

2.1. 安装pcre(7.2装好后已有)

cd /usr/ports/devel/pcrc

make install clean

pcre-7.8.tar.gz

下载后，configure→make→make install默认安装即可

2.2. 安装iptables-devel

cd /usr/ports/net/libpcap

make install clean

iptables-devel-1.3.5-4.el5.i386.rpm

下载后，configure→make→make install默认安装即可

2.3. 安装libdnet

cd /usr/ports/net/libdnet

make install clean

libdnet-1.11.tar.gz

下载后，configure→make→make install默认安装即可

2.4. 安装libpcap

cd /usr/ports/net/libpcap

make install clean

libpcap-1.0.0.tar.gz

下载后，configure→make→make install默认安装即可

2.5. 安装ip_queue

利用modprobe ip_queue载入ip_queue模块

2.6. 安装snort-inline

snort_inline-2.6.1.5.tar.gz

下载后，configure→make→make install默认安装即可

2.7. 运行前准备

打开系统的ip forward功能：

[root@localhost ~]# echo 1 > /proc/sys/net/ipv4/ip_forward

根据需求设置需要通过iptables到ip_queue队列让snort-inline处理的包：如：[root@localhost ~]# iptables –A FORWARD –p tcp –dport 80 –j QUE UE，仅让目的端口为80的tcp数据包进入snort-inline处理。

2.8. 运行snort-inline

[root@localhost ~]# snort-inline –Qc /etc/inline.conf –l /var/log/snort...指定规则、日志记录等方式即可运行。

三.Netflow监控

3.1. 简单的netflow监测

fprobe -i bge0 -n 5 -e 1 127.0.0.1:9996

/usr/local/bin/flow-capture -z 6 -n 143 -e 8928 -V 5 -w /var/netflow 127.0.0.1/127.0.0.1/9996

-z 壓縮比例0-9

-n 一天產生幾份netflow 檔案. 143 為每10分鐘一份預設為95 份15min/per -e 總共保留幾份8928 是一個月

-V 板本..

-w 儲存資料夾

最後localip/remoteip/port

接收端/發送端/連接埠

cd /var/netflow/日期目录

flow-cat ft-v05.2008-12-16.* | flow-stat -f8 -S2 | tail +13l | head -10 查看某天的流量排名

fprobe -i bge0 -n 5 -e 1 127.0.0.1:9995

/usr/local/bin/flow-capture -z 6 -n 24 -e 144 -V 5 -w /var/netflow 127.0.0.1/127.0.0.1/9995

/usr/local/bin/

flow-capture flow-expire flow-filter flow-import flow-merge flow-receive flow-rptfmt flow-stat

flow-cat flow-export flow-gen flow-log2rrd flow-nfilter flow-report flow-send flow-tag

flow-dscan flow-fanout flow-header flow-mask flow-print flow-rpt2rrd flow-split

Netflow#flow-cat 檔案| flow-print # 將列出所有抓下的封包，檔案= /netflow/2005/2005-01/2005-01-31/ft-v01.2005-01-31.032001+0800

Netflow#flow-cat檔案| flow-stat -f8 -S2 | tail +13l | head -10 # 可抓取目的地流量前10名IP

Netflow#flow-cat檔案| flow-stat -f5 -S2 | tail +13l | head -10 # 統計port 量Netflow#flow-cat檔案| flow-filter -P6677 | flow-stat -f8 -S2 # 抓出port 6677 (kuro) 的排名

3.2. NFSEN

cisco 6509 fprobe -i bge0 -n 5 -e 1 192.168.90.252:8231

alcatel 6850 fprobe -i bge0 -n 5 -e 1 192.168.90.252:6343

fprobe -i bge0 -n 5 -e 1 127.0.0.1:9996

telnet 192.168.90.252

user01 user01可以登录然后su root 密码12345678

---------------------------------------

1. port的升级尽量用portupgrade，不要用光盘。(没有这个命令)

2. 从tcpdump看是已经有netflow数据了，再看看/usr/local/var/nfsen/profiles/live/下有没有netflow的数据文件。一般需要过5分钟才能看到流量图。

nfsen -l live 检查、、

nxl# sockstat -4l

-------------------------------------

3.2.1.安装Fprobe

cd /usr/ports/net-mgmt/fprobe/

make install clean

rehash