Hola!

Estoy tratando de realizar una practica de laboratorio con SNORT corriendo como IPS, todo en entorno virtual VMWare Workstation. EL problema es que no consigo que funcione la regla REJECT, y que bloquee paquetes (Drop tampoco funciona)

Lo he montado de la siguiente manera:

PC Atacante eth0 ======== eth0- PC SNORT -eth1 ======= eth1 VICTIMA
eth0 = vmnet2 - 2.0/24 eth1= vmnet3 - 3.0/24

Todavia no puedo hacer ping entre Atacante y Victima, por lo que activo el ip_forwarding y entonces si que funciona

Creo la regla personalizada con REJECT para que bloquee paquetes ICMP a la victima
"reject icmp any any -> IP_VICTIMA any (msg:"Se esta realizando PING a victima";sid;5678923;rev:1)"

Reinicio snort, y lanzo una instancia en modo inline con:
snort -Q --daq afpacket -i eth0:eth1 -A console

Cuando lanzo el PING, snort lo detecta y salta el mensaje de alerta, pero no bloquea los paquetes y el PING sigue funcionando...

Donde esta el error?

Gracias de antemano!!