Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

Pages : 1

#1 Le 04/11/2012, à 23:37

ubuntuforce

fwsnort comportement bizarre

Salut les Ubuntus sécurité,
Il m'est arriver une bizarrerie en essayant de genérér des règles iptables avce le convecteur de signatures snort fwsnort
Avec un script iptables on ne peut plus normal:

Chain INPUT (policy DROP)
#règles pour les protocoles http(80), https(443) et DNS(53)
Chain FORWARD (policy DROP)
#pas de règles
Chain OUTPUT (policy DROP)
#règles pour les protocoles http(80), https(443) et DNS(53)

quand je lance la conversion avec fwsnort j'ai comme résultat 0 (zéro) règles généré.

[+] Generated iptables rules for 15932 out of 23479 signatures: 67.86%
[+] Found 0 applicable snort rules to your current iptables
    policy.

[+] Logfile: /var/log/fwsnort/fwsnort.log
[-] No Snort rules could be translated, exiting

Alors j'ai rapidement analyser le fichier de log /var/log/fwsnort/fwsnort.log qui contenait beaucoup (presque que ) des problèmes de pcre (Perl Compatible Regular Expression) et comme je suis en train de lire un livre sur le sujet ca me sembler un problème de module de regex, j'ai alors tenter désespérément de mettre une règle qui est censer tester la prise en charge par le kernel 2.6 (c'est un vieux bouquin)
de l'extension -m string qui est prise en charge par défaut dans le kernel actuel:

/sbin/iptables -A INPUT -m string --string 'test' --algo bm -j ACCEPT

et après l'ajout j'ai une sortie de fwsnort:

[+] Generated iptables rules for 15932 out of 23479 signatures: 67.86%
[+] Found 15896 applicable snort rules to your current iptables
    policy.

[+] Logfile: /var/log/fwsnort/fwsnort.log
[+] iptables script (individual commands): /etc/fwsnort/fwsnort_iptcmds.sh

    Main fwsnort iptables-save file: /etc/fwsnort/fwsnort.save

    You can instantiate the fwsnort policy with the following command:

    /sbin/iptables-restore < /etc/fwsnort/fwsnort.save

    Or just execute: /etc/fwsnort/fwsnort.sh

 

Moi ca me va, mais j'ai une règle qui n'est pas censer être la ( /sbin/iptables -A INPUT -m string --string 'test' --algo bm -j ACCEPT )
et d'aileurs ce ne marche pas avec DROP ou LOG comme police...

Bizarre mais si ca peut aider quelqu'un qui cherche a faire marcher fwsnort comme moi...
Mais est-ce-que quelqu'un a une explication a cette bizarrerie ?

PS: Est-ce-que a votre avis ca fait trop de règle iptables ?

Dernière modification par ubuntuforce (Le 04/11/2012, à 23:38)

Rendez-vous sur mon site présentant mes créations open-source: http://www.open-source-projects.net/
Rendez-vous sur mon site dédier a mes créations d'imagerie 3D: http://www.3dreaming-imaging.net/
Testez pendant une semaine l'éditeur avec terminaux intégrées http://www.open-source-projects.net/it-edit/it-edit Vous l'adopterai sûrement !

Hors ligne

Pages : 1