Estoy usando Debian 8 y quiero actualizar las reglas de fwsnort mediante este comando:
fwsnort --update-rules
Aunque después de descargar 9,4 MB de reglas en el archivo '/etc/fwsnort/snort_rules/emerging-all.rules', no se pueden aplicar todas las reglas en iptables mediante este comando:
fwsnort --ipt-apply
y da el error:
[+] Empalmando reglas fwsnort 11312 en la política de iptables...
iptables-restore v1.4.21: puerto/servicio no válido especificado '[6789]'
Se produjo un error en la línea: 11131
Pruebe `iptables-restore -h' o 'iptables-restore --ayuda' para más información.
e incluso cuando intento restaurar directamente todas las reglas de emergen-all.rules nuevamente en iptables usando este comando:
iptables-restore < /etc/fwsnort/snort_rules/emerging-all.rules
da como resultado esta salida:
iptables-restore: line 53 failed
¿Cuál es el problema con fwsnort?
Respuesta1
La razón esun error pequeño pero grave en fwsnort(incluso en la versión actual 1.6.6), lo que hace que una de las reglas (al menos las reglas actualmente en línea) cause un error de sintaxis. Esto solo sucede si se especifica un solo puerto en una regla de snort entre corchetes, ya que fwsnort solo elimina los corchetes si se especifica más de un puerto.
Este parche se aplicó al paquete Debian(actualmente sólo en Debian Unstable) soluciona este problema.
Yo tambiénenvié el parche que utilicé para solucionar el problema en Debian como solicitud de extracciónen aguas arriba. Upstream reaccionó rápidamente y fue liberado.fwsnort 1.6.7 con esa solución.