![Smiley :)](https://forum.zentyal.org/Smileys/default/smiley.gif)
Hola Tiago!
He vuelto a instalar IDS/IPS y todo parece funcionar correctamente.
No es necesario recurrir a la línea de comando para habilitar la interfaz externa. Simplemente la he habilitado desde webadmin.
![](https://i.ibb.co/tB0fMQv/suricata-config-iface.png)
Zentyal configura las redes en suricata de una forma un poco sucia, pero que funciona. (Suricata mete por defecto los rangos privados de red y deja como externas las demás. Bastante sucio pero efectivo)
HOME_NET: "[192.168.0.0/16,10.0.0.0/8,172.16.0.0/12]"
EXTERNAL_NET: any
He probado a provocar tráfico sospechoso desde la interfaz externa y, después de habilitarla, desde la interfaz interna:
nmap -Pn --script vuln 192.168.61.1
Y ha sido perfectamente detectado:
# /var/log/suricata/fast.log
12/26/2019-11:56:27.204859 [**] [1:1394:5] SHELLCODE x86 NOOP [**] [Classification: Executable code was detected] [Priority: 1] {TCP} 192.168.61.2:51157 -> 192.168.61.1:445
...
Lo mismo desde la interfaz externa (tras desactivar el firewall):
nmap -Pn --script vuln 10.5.20.253
12/26/2019-12:05:32.603295 [**] [1:1421:11] SNMP AgentX/tcp request [**] [Classification: Attempted Information Leak] [Priority: 2] {TCP} 10.5.20.62:38937 -> 10.5.20.253:705
12/26/2019-12:05:37.175228 [**] [1:1394:5] SHELLCODE x86 NOOP [**] [Classification: Executable code was detected] [Priority: 1] {TCP} 10.5.20.62:58916 -> 10.5.20.253:445
...
En ningún momento he tenido pérdidas de conectividad ni en la máquina cliente ni en el servidor.
Empiezo a creer que tienes problemas con el módulo de red. ¿Lo has comprobado?
Un saludo y Feliz Navidad.