Snort [PFSense] 已配置但未阻止或生成警报!

Snort [PFSense] 已配置但未阻止或生成警报!

我已经安装了 PFSense V 2.0-RC1 (i386) 和最新版本的 Snort

我已经从 Oinkmaster 加载了一堆规则,启用了所有预处理器,并确保服务已启动。

当我让它静置一段时间,然后检查我的警报和阻止列表时,没有任何条目。即使我通过登录 Skype 进行测试(Skype 被列为 P2P 规则),我也没有在日志中看到任何条目。

如果您需要任何进一步的信息,请告诉我...我根本无法弄清楚这一点。

答案1

这是一个老问题,但因为这个问题偶尔会出现,所以我会转述我了解到的情况。在我的情况下,它是在 Smoothwall 盒子上,但 Snort 就是 Snort。

最近升级到最新版本的 Snort 后,我​​发现虽然它之前运行良好,但现在不再正常工作了。检查 Smoothwall 配置没有发现任何异常。Snort 肯定在运行,只是没有检测到任何东西。

问题出在最新的 snort.conf(在 /etc 中)中,有几行关键内容被注释掉了。具体来说,

include $PREPROC_RULE_PATH/preprocessor.rules
include $PREPROC_RULE_PATH/decoder.rules

这意味着 Snort 不会处理通过的数据包。取消注释该行(位于文件末尾附近)并重新启动 Snort 可使系统恢复完整功能。

答案2

检查日志中有关 Snort 的错误,并在 Snort 接口选项卡中验证接口是否已“启动”。接口旁边应该有一个红色的“X”(例如“WAN”)。另外,请务必单击更新选项卡上的“更新规则”按钮。您也可以尝试将 pfSense 更新到 RELEASE。

相关内容