Назад | Перейти на главную страницу

Snort [PFSense] настроен, но не блокирует и не генерирует предупреждения!

У меня PFSense V 2.0-RC1 (i386) и установлена ​​последняя версия Snort.

Я загрузил кучу правил из Oinkmaster, включил все препроцессоры и обеспечил запуск службы.

Когда я оставляю его на некоторое время, а затем проверяю свои предупреждения и черный список, записей нет. Даже когда я проверяю это, войдя в Skype (Skype указан как правило P2P), я не получаю никаких записей в журналах.

Если вам нужна дополнительная информация, дайте мне знать ... Я просто не могу понять это.

Проверьте журналы на наличие ошибок, касающихся Snort, и убедитесь, что интерфейс "запущен" на вкладке Snort Interfaces. Рядом с интерфейсом должен быть красный «X» (например, «WAN»). Также не забудьте нажать кнопку «Обновить правила» на вкладке «Обновить». Вы также можете попробовать обновить pfSense до RELEASE.

Это старый вопрос, но поскольку эта же проблема иногда возникает, я передаю то, что узнал. В моем случае это было на коробке Smoothwall, но Snort - это Snort.

После недавнего обновления Snort до последней версии я обнаружил, что хотя до этого он работал отлично, он больше не выполняет свою работу. Проверка конфигов Smoothwall ничего необычного не выявила. Snort определенно работал, просто ничего не обнаруживал.

Проблема заключалась в том, что в последнем файле snort.conf (в / etc) была закомментирована пара критических строк. В частности,

include $PREPROC_RULE_PATH/preprocessor.rules
include $PREPROC_RULE_PATH/decoder.rules

Это означало, что Snort просто не обрабатывал пакеты по мере их прохождения. Раскомментирование этой строки (расположенной в конце файла) и перезапуск Snort вернули систему к полной функциональности.