Snort OpenAppid no todas las alertas funcionan



  • Hola!
    soy nuevo en esto de configurar snort y openappid eh estado tratando de configurar mi pfsense con Snort para que me muestre alertas con el OpenAppid, una vez habilitado OpemAppid y actualizado las reglas funciona a medias.

    en mi interfaz WAN directamente no sale ninguna alerta aun que tenga todos las rulesets OpenAppid habilitadas.

    en la interfaz LAN cuando tengo habilitado solo las rulesets OpenAppid, pero solo me alerta sobre el acceso http, telegram y de vez en cuando chrome y opera entre algunos pocos que puedo mencionar. Yo necesito q me muestre alertas de redes sociales, facebook, twitter, tmb de youtube, googledrive, ICMP, y muchos otros, pero no me saltan las alertas.

    pense que las reglas estaban cargando la memoria, asi que solo intente habilitar manualmente una regla, facebook por ejemplo,
    alert tcp any any -> any any (msg:"facebook"; appid: facebook;sid: 9000109; classtype:misc-activity; rev:1;)
    y un nada,
    si habilito solo la regla de http (que es parte de openappid-network_protocol.rules) alerta todo el movimiento
    alert tcp any any -> any any (msg:"http"; appid: http;sid: 9000109; classtype:misc-activity; rev:1;)
    esto ultimo pasa con algunas cuantas reglas como telegram, pero telegram solo por navegador, no alerta al usar la aplicacion en móvil.

    algo raro esta pasando y no puedo descubrir que es.

    mi pfsense tiene configurado:
    Squid Proxy
    Squid Guard (por el momento solo tiene black list de paginas xxx)
    Squid proxy reports
    Bind DNS server (slave)

    WAN y LAN no tienen reglas de firewall por ahora.

    Caracteristicas de mi Pfsense:

    bb0359eb-f3ad-4d0a-b1f1-2ea828a73c87-image.png

    Ayuda por favor. No se si tal vez sea que el hardware no es complatible con el OpenAppid, talvez?