Divert IPS

[juergen2025]

Hallo zusammen,

ich beschäftige mich aktuell mit Suricata/IPS unter OPNsense 26.x und bin dabei über die Dokumentation zu Divert (IPS) in Kombination mit Rules [new] gestolpert.

Mir ist klar, dass es zwei Ansätze gibt: Netmap (IPS) als klassisches, globales IPS ohne zusätzliche Firewall-Regeln und Divert (IPS) mit selektiver Inspektion über ,,Divert-to"-Regeln.

Aktuell nutze ich weiterhin Netmap (IPS), da es für mein Setup stabil und unkompliziert funktioniert. Divert (IPS) wirkt auf mich dagegen deutlich komplexer. Ich bin in dem Thema kein Profi und würde daher gerne wissen, ob Divert primär für sehr granulare, regelbasierte Inspektion gedacht ist oder ob es darüber hinaus konzeptionelle Vorteile gegenüber Netmap gibt? Außerdem interessiert mich, ob Divert als neuer empfohlener Weg gilt oder eher eine Advanced-/Speziallösung ist?

Vielen Dank vorab für eure Einschätzungen!