一、背景

        很多人想通过Snort开源软件架构一套IPS系统，由于Snort自身无法阻断Gong JI 流量必须通过其他工具，例如包过滤防火Qiang来实现，它们之间的沟通桥梁就是Guardian，下面简单说明这三者间的关系：

Snort:一款优秀的开源基于主机的入侵检测系统；

Guardian: 一款用Perl编写的开源工具，它通过读取Snort报警日志将其中IP加入到Iptables规则中实现阻断；

Iptables是开源防火Qiang软件（包过滤系统），可用来阻断GongJI源。

      实验原理不难理解，但很多人在进行这种实验时有很多细节值得注意，Snort+Guardian+iptables工作彼此先关，环环相扣，所以很多新人在做这种实验时，要么Snort无法报警，要么检测到GongJI流量无法阻断，各种问题都有可能出现。

二、必备技能

      IDS开源工具的实验步骤尤其是Snort相关的资料，在网上同质化严重，很多写手都没有真正的做过实验，用东拼西凑的资料来赚取流量，在搜寻资料过程中，让新手浪费很多宝贵时间，如果说浪费时间不算什么的话，一连串的失败，真的会打击初学者的内心，最后他们可能就放弃实验了。如何改变这一现状：找个靠谱的教学资源，以节省你去试错的时间成本。

完成实验必备技能：

1. Centos7系统中Snort+Iptables+Guardian联动实战

2. Snort Inline工作模式配置实战

3. iptables日志分析

三、重要脚本分析

       很多新手常常在配置guardian中遇到无法读取iptables报警的问题，主要原因是没有弄明白guardian的运行机理，下面就这个软件的主要配置及程序文件进行说明。

1.guardian.sh 脚本分析

#!/bin/bash

cd /usr/local/bin

#start函数负责启动guardian程序。它首先更新环境变量PATH以包含本地二进制路径，然后使用指定的配置文件启动guardian程序。

start()

{

# 将/usr/local/bin添加到PATH环境变量中

  export PATH=$PATH:/usr/local/bin

# 使用/etc/guardian.conf启动guardian.pl脚本

  /usr/local/bin/guardian.pl -c /etc/guardian.conf

}

# stop函数负责停止guardian程序。它首先检查guardian是否正在运行，如果是，就杀掉进程，否则就输出"guardian is not running ...."。

stop()

{

# 查询名为'guardian.pl *-c'的进程

  ps aux |grep 'guardian.pl *-c' 2>&1 > /dev/null

#判断语句，如果进程存在，则停止该进程

  if [ $? -eq 0 ];

  then

  kill `ps aux |grep 'guardian.pl *-c' `

#如果进程不存在，则输出"guardian is not running ...."

  else

  echo "guardian is not running ...."

  fi

}

# status函数用于检查guardian进程是否正在运行，如果是，输出"guardian is running ...."，否则输出"guardian is not running ...."。

status()

{

  ps aux |grep 'guardian.pl *-c' 2>&1 > /dev/null

  if [ $? -eq 0 ];

  then

  echo "guardian is running ...."

  else

  echo "guardian is not running ...."

  fi

}

# 根据传入的参数（$1）执行不同的函数

case "$1" in

# 如果传入的参数是start，则调用start函数

start)

start

;;

# 如果传入的参数是stop，则调用stop函数

stop)

stop

;;

# 如果传入的参数是restart，则先调用stop函数，再调用start函数

restart)

stop

start

;;

# 如果传入的参数是status，则调用status函数

status)

status;;

*)

# 如果传入的参数不是上述的任何一种，那么输出使用方法

echo $"Usage: $0 {start|stop|restart|status}"

esac

2.guardian_block.sh

#!/bin/bash

#这个SHELL脚本需要和iptables一起工作，主要功能是实现IP的阻断。guardian会安装下面方式来调用命令。

#guardian_block.sh <源 IP 地址> <网卡接口>

# 然后该脚本将发出一个命令，阻塞来自源 IP 地址的所有流量，判断是否可以安全地阻塞该地址的逻辑是在 guardian 自身内部完成。

## 从命令行参数获取源 IP 地址和网卡接口

source=$1

interface=$2

# 通过 iptables 命令向 INPUT 链添加规则，阻塞来自源 IP 地址的所有流量

# 实验之前，可以运行 'service iptables status' 检查其状态。

/sbin/iptables -I INPUT -s $source -i $interface -j DROP

# 向 INPUT 链添加另一个规则，阻塞来自源 IP 地址的 TCP 流量。

/sbin/iptables -I INPUT -p tcp -s $source -i $interface -j REJECT --reject-with tcp-reset

3.guardian.conf

这是主配置文件，我们需要修改的也就是根据自己系统网络设备名称来修改。

Interface       eth0   #改成自己系统的网卡设备名