IPS

1、Suricata 本身是不具有拦截功能的，想要让它拦截包需要配合 iptables 使用。 首先要确定安装的suricata是否支持IPS模式，如果在安装编译的时候没有启用IPS模式，NFQueue默认为no

通过命令：suricata --build-info

2、需要重新编译安装，然后参照

./configure --enable-nfqueue --prefix=/usr --sysconfdir=/etc --localstatedir=/var

3、编译后查看

4、首先，需要设置 iptables 的 NFQUEUE，，以让 Suricata 能访问到相应的数据包，可以使用如下命令：

sudo iptables -I INPUT -p tcp -j NFQUEUE

sudo iptables -I OUTPUT -p tcp -j NFQUEUE

5、随后使用如下命令让 Suricata 以 IPS 模式运行（其中，-q 说明以 IPS 模式运行）：

sudo suricata -c etc/suricata/suricata.yaml -q 0

注意：在不使用 Suricata 的时候，记得要 sudo iptables -F 清除配置，不然机器就没法使用 tcp 了