fwsnort wendet keine Regeln in iptables an

1

Ich verwende Debian 8 und möchte die fwsnort-Regeln über diesen Befehl aktualisieren:

fwsnort --update-rules

Obwohl nach dem Herunterladen von 9,4 MB Regeln in der Datei '/etc/fwsnort/snort_rules/emerging-all.rules' nicht alle Regeln in iptables über diesen Befehl angewendet werden können:

fwsnort --ipt-apply

und gibt den Fehler aus:

[+] Fwsnort 11312-Regeln in die Iptables-Richtlinie einfügen ...
iptables-restore v1.4.21: Ungültiger Port / Dienst '[6789]' angegeben
Fehler in Zeile: 11131
Versuchen Sie, "iptables-restore -h" oder "iptables-restore --help", um weitere Informationen zu erhalten.

und selbst wenn ich versuche, alle Regeln direkt aus emerging-all.rules mit dem folgenden Befehl in iptables wiederherzustellen:

iptables-restore < /etc/fwsnort/snort_rules/emerging-all.rules

es ergibt sich diese Ausgabe:

iptables-restore: line 53 failed

Was ist das Problem mit fwsnort?

Brian SP
quelle

Antworten:

0

Grund ist ein kleiner aber schwerer Fehler in fwsnort (auch in der aktuellen Upstream-Version 1.6.6), wodurch eine der Regeln (zumindest die Regeln, die derzeit online sind) einen Syntaxfehler verursacht. Dies geschieht nur, wenn in einer Snort-Regel in Klammern ein einzelner Port angegeben ist, da fwsnort die Klammern nur entfernt, wenn mehr als ein Port angegeben ist.

Dieser Patch wurde auf das Debian-Paket angewendet (Derzeit nur in Debian Unstable) behebt dieses Problem.

ich auch hat den Patch, mit dem ich das Problem in Debian behoben habe, als Pull-Request eingereicht bei stromaufwärts. Upstream reagierte umgehend und ließ los fwsnort 1.6.7 mit diesem Update .

Axel Beckert
quelle
Danke für Details, was ist los mit Debian? erst SELinux und dann fwsnort. Ich denke, dass es unter Linux nicht ratsam ist, keine Firewall zu haben. Würden Sie eine Firewall für Debian 8 und CentOS 7 vorschlagen?
Brian SP
Keine Ahnung, was Sie mit "Was ist los mit Debian?" fwsnort brach nicht nur in Debian, sondern auch in Upstream und damit in allen Distributionen. Debian ist die Distribution, die das Update ausgelöst hat. Und meiner Meinung nach ist zumindest SElinux keine Firewall. (Ich bin mir nicht sicher, ob fwsnort als Firewall bezeichnet werden kann.) In Bezug auf Firewalls: IMHO ist normalerweise keine Firewall erforderlich. Das Aktualisieren Ihres Systems mit Sicherheitsupdates und die ordnungsgemäße Konfiguration des Zugriffs auf vom System bereitgestellte Dienste (in der Serveranwendung) reichen in der Regel nicht aus, um Probleme beim Blockieren des Zugriffs auf Netzwerkseite zu verbergen.
Axel Beckert
Nochmals vielen Dank für die Erklärung der Firewalls und das Aufräumen, weil ich Debian die Schuld gegeben habe :) und für meine Entschuldigung, dass ich falsche Informationen über SElinux gegeben habe. Ich hatte ein Problem bei der Installation auf meinem System.
Brian SP