![Snort [PFSense] 已配置但未阻止或生成警报!](https://linux22.com/image/548704/Snort%20%5BPFSense%5D%20%E5%B7%B2%E9%85%8D%E7%BD%AE%E4%BD%86%E6%9C%AA%E9%98%BB%E6%AD%A2%E6%88%96%E7%94%9F%E6%88%90%E8%AD%A6%E6%8A%A5%EF%BC%81.png)
我已经安装了 PFSense V 2.0-RC1 (i386) 和最新版本的 Snort
我已经从 Oinkmaster 加载了一堆规则,启用了所有预处理器,并确保服务已启动。
当我让它静置一段时间,然后检查我的警报和阻止列表时,没有任何条目。即使我通过登录 Skype 进行测试(Skype 被列为 P2P 规则),我也没有在日志中看到任何条目。
如果您需要任何进一步的信息,请告诉我...我根本无法弄清楚这一点。
答案1
这是一个老问题,但因为这个问题偶尔会出现,所以我会转述我了解到的情况。在我的情况下,它是在 Smoothwall 盒子上,但 Snort 就是 Snort。
最近升级到最新版本的 Snort 后,我发现虽然它之前运行良好,但现在不再正常工作了。检查 Smoothwall 配置没有发现任何异常。Snort 肯定在运行,只是没有检测到任何东西。
问题出在最新的 snort.conf(在 /etc 中)中,有几行关键内容被注释掉了。具体来说,
include $PREPROC_RULE_PATH/preprocessor.rules
include $PREPROC_RULE_PATH/decoder.rules
这意味着 Snort 不会处理通过的数据包。取消注释该行(位于文件末尾附近)并重新启动 Snort 可使系统恢复完整功能。
答案2
检查日志中有关 Snort 的错误,并在 Snort 接口选项卡中验证接口是否已“启动”。接口旁边应该有一个红色的“X”(例如“WAN”)。另外,请务必单击更新选项卡上的“更新规则”按钮。您也可以尝试将 pfSense 更新到 RELEASE。