Snort помечает пакет как отброшенный, но это не так.

Я пытаюсь использовать SNORT в качестве IDS внутри сети с двумя машинами, но не могу заставить его работать должным образом. Вот что я уже сделал:

• В /etc/snort/snort.config добавлено следующее:

config policy_mode:inline 
config daq: afpacket 
config daq_mode: inline

• Выключил gro и lro с помощью

ethtool -K eth1 gro off 
ethtool -K eth1 lro off

• Настроил мои интерфейсы в беспорядочном режиме с

ip link set eth0 promisc on
ip link set eth1 promisc on

• Добавлено правило в /etc/snort/rules/local.rules

reject tcp 20.10.50.5/24 any -> 20.10.50.9/24 any (msg:"TCP intercepted";sid:1000005;rev:1;priority:1;)

На машине с 20.10.50.9 работает HTTP-сервер на портах 5000:5002, и когда я запускаю петицию с машины на 20.10.50.5 как curl http://20.10.50.9:5002/set/volumen/6 snort выводит следующее:

[Drop] [**] [1:1000005:1] TCP intercepted [**] [Priority: 1] {TCP} 20.10.50.5:48836 -> 20.10.50.9:5002

Но пакет достигает сервера, поскольку он изменяет переменную. Наконец, я вызываю snort из командной строки# snort -A console -Q -c /etc/snort/snort.conf -i eth0:eth1 -k none. Любая помощь приветствуется, потому что я совершенно потерялся здесь.