Ich verwende Debian 8 und möchte die Fwsnort-Regeln mit diesem Befehl aktualisieren:
fwsnort --update-rules
Allerdings können nach dem Herunterladen von 9,4 MB an Regeln in der Datei „/etc/fwsnort/snort_rules/emerging-all.rules“ mit diesem Befehl nicht alle Regeln in iptables angewendet werden:
fwsnort --ipt-apply
und gibt den Fehler aus:
[+] Einfügen der fwsnort 11312-Regeln in die iptables-Richtlinie ...
iptables-restore v1.4.21: ungültiger Port/Dienst „[6789]“ angegeben.
Fehler aufgetreten in Zeile: 11131.
Versuchen Sie „iptables-restore -h“ oder „iptables-restore --help“, um weitere Informationen zu erhalten.
und sogar wenn ich versuche, alle Regeln aus emerging-all.rules mit diesem Befehl direkt in iptables wiederherzustellen:
iptables-restore < /etc/fwsnort/snort_rules/emerging-all.rules
Es ergibt sich folgende Ausgabe:
iptables-restore: line 53 failed
Was ist das Problem mit fwsnort?
Antwort1
Grund istein kleiner aber schwerwiegender Fehler in fwsnort(sogar in der aktuellen Upstream-Version 1.6.6), was dazu führt, dass eine der Regeln (zumindest die Regeln, die derzeit online sind) einen Syntaxfehler verursacht. Dies passiert nur, wenn in einer Snort-Regel in Klammern ein einzelner Port angegeben ist, da fwsnort die Klammern nur entfernt, wenn mehr als ein Port angegeben ist.
Dieser Patch wurde für das Debian-Paket angewendet(derzeit nur in Debian Unstable) behebt dieses Problem.
ich auchhabe den Patch, mit dem ich das Problem in Debian behoben habe, als Pull Request eingereicht.Upstream reagierte umgehend und veröffentlichtefwsnort 1.6.7 mit diesem Fix.