1. Необходимо настроить включить ip forward. 2. Установить IPS Suricata 3. В iptables задать перенаправление пакетов в очередь. ( IPTABLES -I FORWARD -j NFQUEUE) 4. Убедитесь что установленная IPS Suricata имеет потдержку NFQMODE. (Для этого выполните команду suricata --build-info, напротив NFQueue должно нахдиться обозначение yes) 5. В конфигурационном файле /etc/suricata/suricata.yaml закоментируйте ненужный правила. 6. В файле /etc/default/suricata убеитесь что параметр LISTENMODE имеет зачение nfqueue. 7. В конфигурационном файле /etc/suricata/suricata.yaml включите вывод логов.(смотрите блок конфигурации output). https://redmine.openinfosecfoundation.org/projects/suricata/wiki/setting_up_ipsinline_for_linux Правила - https://rules.emergingthreats.net/open/suricata/rules/