Похоже, что IPS выполняет фильтрацию входящего трафика ещё до межсетевого экрана. Например:
Mar 28 10:08:42 usg kernel: ALIEN BLOCK: IN=pppoe0 OUT= MAC=78:8a:20:42:62:11:e4:81:84:78:9c:07:88:64:11:00:05:b9:00:2a:00:21 src=191.101.167.235 DST=$MY_PUBLIC_IP LEN=40 TOS=0x00 PREC=0x00 TTL=247 ID=54321 PROTO=TCP SPT=50780 DPT=8545 WINDOW=65535 RES=0x00 SYN URGP=0
Не было бы логичнее, чтобы снизить нагрузку на USG, проверять только те пакеты, которые прошли через межсетевой экран? Я не совсем знаком с Suricata, чтобы понять, возможно ли такое, но в приведённом примере, который направлен на TCP-порт 8545, пакет бы не прошёл дальше и не требовал бы проверки.
Mar 28 10:08:42 usg kernel: ALIEN BLOCK: IN=pppoe0 OUT= MAC=78:8a:20:42:62:11:e4:81:84:78:9c:07:88:64:11:00:05:b9:00:2a:00:21 src=191.101.167.235 DST=$MY_PUBLIC_IP LEN=40 TOS=0x00 PREC=0x00 TTL=247 ID=54321 PROTO=TCP SPT=50780 DPT=8545 WINDOW=65535 RES=0x00 SYN URGP=0
Не было бы логичнее, чтобы снизить нагрузку на USG, проверять только те пакеты, которые прошли через межсетевой экран? Я не совсем знаком с Suricata, чтобы понять, возможно ли такое, но в приведённом примере, который направлен на TCP-порт 8545, пакет бы не прошёл дальше и не требовал бы проверки.