21、深入解析Snort规则转换为iptables规则及fwsnort部署

深入解析Snort规则转换为iptables规则及fwsnort部署

1. 不支持的Snort规则选项

虽然iptables能在很大程度上模拟Snort规则语言，但仍有许多Snort选项在iptables中没有很好的等效项。部分选项可通过iptables的u32扩展模拟，待u32扩展移植到2.6内核后，fwsnort的后续版本将支持。以下是一些不支持的选项：
| 选项 | 说明 | 模拟情况 |
| — | — | — |
| asn1 | 允许Snort将签名与解码后的抽象语法表示法一（ASN.1）数据关联，常用于SMB协议 | 难以在iptables中模拟其复杂处理 |
| byte_jump | 数据包数据可决定Snort在进行下一次模式匹配或字节测试前跳过的字节数 | 可用u32匹配模拟，但需等待2.6内核支持 |
| byte_test | 使Snort能对数据包数据的特定偏移量进行数值测试 | pcre选项可部分模拟，但性能不如byte_test；u32匹配可部分模拟，2.6内核暂不支持 |
| flowbits | 用于Snort规则间传递状态信息 | 可通过结合iptables的CONNMARK目标和字符串匹配扩展有限模拟，fwsnort暂不支持；L7 - filter项目也可部分模拟 |
| fragbits | 允许Snort对IP报头中的分段位进行测试 | iptables的 -f 参数功能远不如Snort实现强大；开启连接跟踪时，数据包会自动重组 |
| isdataat | 指示Snort测试特定偏移量处是否存在数据 | 无等效iptables选项 |
| pcre | 即Perl兼容正则表达式，允许Sn