Hallo zusammen,
hab auf einem SuSE 7.3 snort "out-of-the-box" und guardian 1.6 installiert.
snort meldet brav erkannte ""Eindringungsversuche"" und logt diese nach /var/log/snort/alert.
Guardian ist so konfiguriert, das es die alert Datei überwacht und greift auch neue Eintrage auf.
Aber statt die Source IP zu blocken (auf 60 Minuten eingestellt), kommt eine Meldung "source=xxx.xxx.xxx.xxx ; destination= yyy.yyy.yyy.yyy No action taken" (vom Sinn her).
Kann mir jemand weiterhelfen, warum guardian nix unternimmt?
Würde mir auch gerne selber weiterhelfen, finde aber keine ausführlichere Hilfe, in der sowas dokumentiert wird. Hat jemand eine?
Mit besten Dank im vorraus
Reza