Сохранение источника при использовании Snort с loadbalancer? Или почему это плохая идея?

Я не знаю о фырканье, но я немного знаю о балансировщиках нагрузки. Вот несколько вещей, которые могут быть полезны.

• переместите датчик фырканья до HAProxy.
• оставьте датчик там, где он есть, но превратите HAProxy в прозрачный прокси. Этого требует директива "usesrc clientip".
• оставьте датчик там, где он есть, но позвольте HAProxy вставить заголовок" X-forwarded-for " (если вы используете HTTP), а затем пусть фыркает читать этот заголовок с помощью директивы "enable_xff"

EDIT: удалены предложения, несовместимые с расшифровкой TLS. Оставшееся предложение должно работать для HTTP (только HTTP). И только полезно, если у вас есть что-то, что может декодировать данные unified2 (barnyard2, u2pewfoo), как это то, что фырканье будет записывать "True-Client-IP" в, нет никакой возможности, чтобы он был зарегистрирован как происхождение. См. URL ниже для дальнейшего информация.

https://snort.org/faq/readme-http_inspect