Estou usando o Debian 8 e quero atualizar as regras do fwsnort através deste comando:
fwsnort --update-rules
Embora depois de baixar 9,4 MB de regras no arquivo '/etc/fwsnort/snort_rules/emerging-all.rules', ele não consegue aplicar todas as regras em iptables por meio deste comando:
fwsnort --ipt-apply
e dá o erro:
[+] Unindo regras fwsnort 11312 na política iptables...
iptables-restore v1.4.21: porta/serviço inválido '[6789]' especificado
Ocorreu um erro na linha: 11131
Tente `iptables-restore -h' ou 'iptables-restore --help' para mais informações.
e mesmo quando tento restaurar diretamente todas as regras de emergente-all.rules de volta para o iptables usando este comando:
iptables-restore < /etc/fwsnort/snort_rules/emerging-all.rules
resulta nesta saída:
iptables-restore: line 53 failed
Qual é o problema com o fwsnort?
Responder1
A razão éum bug pequeno, mas grave, no fwsnort(mesmo na versão upstream atual 1.6.6), o que faz com que uma das regras (pelo menos as regras atualmente online) cause um erro de sintaxe. Isso só acontece se uma única porta for especificada em uma regra do snort entre colchetes, pois fwsnort apenas remove os colchetes se houver mais de uma porta especificada.
Este patch foi aplicado ao pacote Debian(atualmente apenas no Debian Unstable) corrige esse problema.
eu tambémenviei o patch que usei para corrigir o problema no Debian como solicitação pulla montante. Upstream reagiu prontamente e liberoufwsnort 1.6.7 com essa correção.