我正在使用 Debian 8,我想通过此命令更新 fwsnort 规则:
fwsnort --update-rules
尽管在“/etc/fwsnort/snort_rules/emerging-all.rules”文件中下载了 9.4 MB 的规则,但通过以下命令无法应用 iptables 中的所有规则:
fwsnort --ipt-apply
并给出错误:
[+] 将 fwsnort 11312 规则拼接到 iptables 策略中...
iptables-restore v1.4.21:指定了无效的端口/服务 '[6789]'
错误发生在行:11131
尝试“iptables-restore -h”或“iptables-restore --help”获取更多信息。
甚至当我尝试使用以下命令将所有规则从 emerging-all.rules 直接恢复到 iptables 中时:
iptables-restore < /etc/fwsnort/snort_rules/emerging-all.rules
它产生这样的输出:
iptables-restore: line 53 failed
fwsnort 有什么问题?
答案1
原因是fwsnort 中有一个很小但很严重的错误(即使在当前上游版本 1.6.6 中),这会导致其中一条规则(至少是当前在线的规则)导致语法错误。只有当在 snort 规则中用括号指定单个端口时才会发生这种情况,因为 fwsnort 仅在指定多个端口时才会删除括号。
此补丁适用于 Debian 软件包(目前仅在 Debian Unstable 中)修复了此问题。
我也以拉取请求的形式提交了用于修复 Debian 中问题的补丁上游迅速作出反应,释放fwsnort 1.6.7 已修复。