+ Responder ao Tópico



  1. #1

    Padrão problema com snort

    pessoal, meu snort so funcionou na primeira instalacao, agora aparece esse problema no messages na hora de rodar a execucao do snort, alguem ja teve esse problema ?

    Mar 23 22:51:43 lua snort: FATAL ERROR: Warning: /etc/snort/web-client.rules(21) => Unknown keyword ' flowbits' in rule!
    Mar 23 22:51:43 lua kernel: device eth0 left promiscuous mode

    valew, fabricio !

  2. #2



  3. #3

    Padrão problema com snort

    kra, o CURRENT esta com algum pau ! ontem de madrugada eu baxei o 2_1 ai funcionou, o q aconteceu eh q ontem a tarde o CURRENT esta blz, a noite alguem deve ter trocado ele por isso eu nao consegui , valew kra, o guardian bloqueou uns 20 ips essa noite, o unicio problema e que ele bloqueou um ip q nao poderia, olha ai

    Ignoring attack because 200.x.x.140 is in my ignore list
    Wed Mar 24 09:23:17 2004: 200.x.x.140
    Ignoring attack because 200.x.x.140 is in my ignore list
    Wed Mar 24 09:23:17 2004: 200.x.x.140
    Ignoring attack because 200.x.x.140 is in my ignore list
    Wed Mar 24 09:23:17 2004: 200.x.x.140
    Running '/usr/local/bin/guardian_block.sh 200.x.x.140 eth0'
    Wed Mar 24 09:23:17 2004: 200.x.x.140
    Running '/usr/local/bin/guardian_block.sh 200.x.x.140 eth0'

    ele reconheceu q deveria ignorar o ip ate certo ponto, mas depois mesmo assim bloqueou ele ! (isso dai e um cliente meu de acesso discado)

    o q pode ser ? ninguem mais consegue acessar essa porta !

    Citação Postado originalmente por PiTsA
    tente arrumar atualizando suas rules...

    http://www.snort.org/dl/rules/snortr...CURRENT.tar.gz

  4. #4

    Padrão problema com snort

    estranho ele bloquear mesmo o IP estando no guardian.ignore

    modifique seu snort.conf, na linha:

    preprocessor portscan-ignorehosts: 0.0.0.0

    adicione o IP que vc quer ignorar....

    preprocessor portscan-ignorehosts: 200.x.x.140 200.x.x.n

    com isso ele irá ignorar este host....



  5. #5

    Padrão problema com snort

    agora ficou fileh ... funcionando blz, so uma duvida pra parar de te enxer o saco, quando eu reinicio o servidor o guardian tem q bloquear os ip's dinovo ou ele armazena as chains do IPTABLES em algum canto ?


    Citação Postado originalmente por PiTsA
    estranho ele bloquear mesmo o IP estando no guardian.ignore

    modifique seu snort.conf, na linha:

    preprocessor portscan-ignorehosts: 0.0.0.0

    adicione o IP que vc quer ignorar....

    preprocessor portscan-ignorehosts: 200.x.x.140 200.x.x.n

    com isso ele irá ignorar este host....