Les 2 mon capitaine. Il faut savoir que SNORT ne bloque aucune tentative d'intrusion, il sert juste à détecter qu'il y a une tentative ou une intrusion. Pour cela il s'appuie sur une base de données de regles qu'il faut mettre à jour regulierement.
Pour bloquer les tentatives d'intrusion detectées par SNORT, il faut installer un produit complementaire : GUARDIAN
Celui-ci va s'appuyer sur les logs de SNORT pour bloquer l'adresse IP (pendant un temps paramétrable) qui fait la tentative d'intrusion.
=> qq scanne tes ports, SNORT detecte le scan et l'IP, et GUARDIAN modifie automatiquement tes regles iptable pour Dropper l'ensemble des paquets qui provienne de cette IP.
Avec ce système tu es tranquille : detection d'intrusion + bloquage => tu dors sur tes 2 oreilles.