5
PfSense - Snort startet nicht mehr
Moin zusammen,
seit ein paar Tage lässt sich Snort nicht mehr starten. Ein Update der Sense selbst wurde nicht durchgeführt.
Die Snort Update sind allerdings durchgelaufen.
Konkret sieht der Fehler immer wie folgt aus:
Hat noch jemand dieses Problem?
PfSense läuft unter 2.6.0 Community
Snort unter 4.1.6
Ich meine vor ein paar Tagen ein Snort Upgrade auf 4.1.6 durchgeführt zu haben. Vermutlich hängt es damit zusammen.
Weiß jemand wie ich dort ein Downgrade von Snort durchführen kann?
Gruß
Spirit
seit ein paar Tage lässt sich Snort nicht mehr starten. Ein Update der Sense selbst wurde nicht durchgeführt.
Die Snort Update sind allerdings durchgelaufen.
Konkret sieht der Fehler immer wie folgt aus:
FATAL ERROR: /usr/local/etc/snort/snort_48918_igb3/rules/snort.rules:16686: Can't use flow: stateless option with other options Hat noch jemand dieses Problem?
PfSense läuft unter 2.6.0 Community
Snort unter 4.1.6
Ich meine vor ein paar Tagen ein Snort Upgrade auf 4.1.6 durchgeführt zu haben. Vermutlich hängt es damit zusammen.
Weiß jemand wie ich dort ein Downgrade von Snort durchführen kann?
Gruß
Spirit
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 7546590006
Url: https://administrator.de/contentid/7546590006
Printed on: April 27, 2024 at 20:04 o'clock
5 Comments
Latest comment
Hi.
forum.netgate.com/topic/180867/snort-fatal-error-after-emerging-rules-update/15
TL;DR
I came across this a couple hours ago too. There's two rules causing it, SID 2046273 and 2046274. You'll find them under Wan Rules -> Category : emerging-trojan.rules . Disabling these two rules should resolve.
Ich denke, das kann analog eingerichtet werden.
Gruß
forum.netgate.com/topic/180867/snort-fatal-error-after-emerging-rules-update/15
TL;DR
I came across this a couple hours ago too. There's two rules causing it, SID 2046273 and 2046274. You'll find them under Wan Rules -> Category : emerging-trojan.rules . Disabling these two rules should resolve.
Ich denke, das kann analog eingerichtet werden.
Gruß
1
Top, vielen Dank!
Den Artikel habe ich nicht gefunden.
Den Artikel habe ich nicht gefunden.
Du weist nicht zufällig wie aus den Logs auf die Fehlerhafte Rule zu schließen ist?
Den Artikel habe ich nicht gefunden.
Dachte ich mir, war auch sehr frisch der Thread. Vielleicht warst Du deiner Zeit etwas vorraus 
Du weist nicht zufällig wie aus den Logs auf die Fehlerhafte Rule zu schließen ist?
Ich würde das im Thread berücksichtigen:If something similar happens in the future, the error message can help you narrow down the rule. For this case, the error message gives you the rules file being processed and what line number in the file caused a problem.
/usr/local/etc/snort/snort_3612_ix1/rules/snort.rules:26779
Open the given file in a text editor and locate line #26779. The rule on that line will be the one causing the problem.
In deinem Fall also:
FATAL ERROR: /usr/local/etc/snort/snort_48918_igb3/rules/snort.rules:16686
File: snort.rules - Zeile: 16686Gruß
Daran habe ich auch gedacht. Allerdings sind das wohl pro Interface unterschiedliche Regeln. Denn die ID in der Fehlermeldung hat sich immer wieder geändert.
