<p dir="ltr">If your users use a proxy (that doesn't clean up the x-forwarded-for header) you can check the EVE json alert for the x-forwarded-for header. </p>
<p dir="ltr">The only other option is to remove the NAT or to move the place where your IDS lies. This is the case for any IDS or other network device that logs traffic. </p>
<div class="gmail_quote">On Sep 29, 2015 13:48, "Jose Carlos Álvarez" <<a href="mailto:jcalvarezvg@gmail.com">jcalvarezvg@gmail.com</a>> wrote:<br type="attribution"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div><div><div><div><div>Hi all,<br><br></div>My question is if I have a setup like this, how can I do so Suricata show in the alerts the IPs of the connected clients instead of only the IP of NAT router? it is possible?<br><br></div>My setup:<br><br></div>ADSL Router > Suricata IPS (NFQUEUE or AF_PACKET) > NAT Router > Switch > Clients<br><br></div>Thanks in advance,<br><br></div>José Carlos<br></div>
<br>_______________________________________________<br>
Suricata IDS Users mailing list: <a href="mailto:oisf-users@openinfosecfoundation.org">oisf-users@openinfosecfoundation.org</a><br>
Site: <a href="http://suricata-ids.org" rel="noreferrer" target="_blank">http://suricata-ids.org</a> | Support: <a href="http://suricata-ids.org/support/" rel="noreferrer" target="_blank">http://suricata-ids.org/support/</a><br>
List: <a href="https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users" rel="noreferrer" target="_blank">https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users</a><br>
Suricata User Conference November 4 & 5 in Barcelona: <a href="http://oisfevents.net" rel="noreferrer" target="_blank">http://oisfevents.net</a><br></blockquote></div>