fwsnort не будет применять правила в iptables

699
Brian SP

Я использую Debian 8 и хочу обновить правила fwsnort с помощью этой команды:

fwsnort --update-rules

Хотя после загрузки 9,4 МБ правил в файл /etc/fwsnort/snort_rules/emerging-all.rules он не может применить все правила в iptables с помощью этой команды:

fwsnort --ipt-apply

и выдает ошибку:

[+] Объединение правил fwsnort 11312 в политику iptables ...
iptables-restore v1.4.21: указан неверный порт / служба '[6789]'
Ошибка в строке: 11131
Попробуйте `iptables-restore -h 'или' iptables-restore --help 'для получения дополнительной информации.

и даже когда я пытаюсь восстановить все правила из появляющегося all.rules обратно в iptables с помощью этой команды:

iptables-restore < /etc/fwsnort/snort_rules/emerging-all.rules

это приводит этот вывод:

iptables-restore: line 53 failed

В чем проблема с fwsnort?

1

1 ответ на вопрос

0
Axel Beckert

Причина - небольшая, но серьезная ошибка в fwsnort (даже в текущей вышестоящей версии 1.6.6), которая приводит к синтаксической ошибке одного из правил (по крайней мере, тех, которые в данный момент доступны в сети). Это происходит только в том случае, если в скобках указано одно имя порта в правиле snort, так как fwsnort удаляет скобки только в том случае, если указано более одного порта.

Этот патч, примененный к пакету Debian (в настоящее время только в нестабильной версии Debian ), исправляет эту проблему.

Я также представил патч, который использовал для исправления проблемы в Debian, как запрос на загрузку в апстриме. Апстрим быстро отреагировал и выпустил fwsnort 1.6.7 с этим исправлением .

спасибо за подробности, что не так с Debian? сначала SELinux, а затем fwsnort. Я думаю, что отсутствие брандмауэра было бы неуместно в Linux, вы бы предложили брандмауэр для Debian 8 и CentOS 7 pls? Brian SP 7 лет назад 0
Понятия не имею, что вы имеете в виду под «что не так с Debian?». fwsnort работает не только в Debian, но и в исходной версии, и, следовательно, во всех дистрибутивах. Debian - это дистрибутив, в котором исправлено. И ИМХО хотя бы SElinux это не брандмауэр. (Не уверен, что fwsnort можно назвать брандмауэром.) Что касается брандмауэров: ИМХО, как правило, нет необходимости в брандмауэре. Просто поддерживать вашу систему в актуальном состоянии с помощью обновлений безопасности и правильно настраивать доступ к службам, предоставляемым системой (в серверном приложении), обычно гораздо больше, чем просто скрывать проблемы, стоящие за блокировкой доступа на стороне сети. Axel Beckert 7 лет назад 0
еще раз спасибо за объяснение брандмауэров и прояснение этого, потому что я обвинял Debian :) и мои извинения за предоставление неправильной информации о SElinux, у меня была проблема с установкой его в моей системе, теперь она решена, ничего плохого в его пакете. Brian SP 7 лет назад 0

Похожие вопросы