SNORT WHITELIST PROBLEM
-
hello,
i want to unblock spezific skype users/ips/hosts for my network.
but when i write a whitelist rule in snort like:
unblock 192.168.10.25
he get blocked because of other ips from my fixed internet ip? i dont understand it why!
f.e. 213.166.51.4how can i realized that host 192.168.10.25 can use skype, without an one hour block :)?
THANKS
-
i have try this, but nothing helped me to unblock skype for host
suppress gen_id 5, sig_id 5692 , track by_src, ip 192.168.10.25;
suppress gen_id 3, sig_id 5693 , track by_src, ip 192.168.10.25;
suppress gen_id 4, sig_id 5694 , track by_src, ip 192.168.10.25;
suppress gen_id 1, sig_id 5998 , track by_src, ip 192.168.10.25;
suppress gen_id 2, sig_id 5999 , track by_src, ip 192.168.10.25output error:
Delete 1 192.168.10.25 P2P Skype client login startup
Delete 2 193.95.154.39 P2P Skype client login
Delete 3 192.168.10.25 (http_inspect) BARE BYTE UNICODE ENCODING
log:
Nov 19 12:18:46 snort[10646]: [119:14:1] (http_inspect) NON-RFC DEFINED CHAR [Priority: 3] {TCP} 192.168.10.9:46780 -> 199.7.55.72:80
Nov 19 12:18:46 snort[10646]: [119:14:1] (http_inspect) NON-RFC DEFINED CHAR [Priority: 3] {TCP} 192.168.10.9:46780 -> 199.7.55.72:80
Nov 19 12:18:46 snort[10646]: [119:14:1] (http_inspect) NON-RFC DEFINED CHAR [Priority: 3] {TCP} 192.168.10.9:29887 -> 199.7.55.72:80
Nov 19 12:18:46 snort[10646]: [119:14:1] (http_inspect) NON-RFC DEFINED CHAR [Priority: 3] {TCP} 192.168.10.9:29887 -> 199.7.55.72:80 -
ich hab es endlich!
manno mann war das eine nerviger akt ;)
also damit es alle hinbekommen, die es vielleicht noch nicht haben…..
ICH HABKEINE AHNUNG WOZU DIE WHITELIST INTEGRIET WURDE?????
was man unter dem wort whitelist versteht, ist jetzt unter "suppress" zu finden ;)
da kann man clientips für den filter auf die whitelist setzen!
also das diese an dem snort filter vorbeihuschen dürfen ohne geblockt zu werden!hab einfach das erste beispiel genommen was einem dort vorgeschlagen wird!
z.b.
suppress gen_id 1, sig_id 5998 , track by_src, ip 192.168.10.25
suppress gen_id 1, sig_id 5999 , track by_src, ip 192.168.10.25mit dieser regel in suppress wird skype wieder freigelassen wenn ihr es vorher mit den p2p rules geblockt habt!
nur nicht vergessen im main teil nochmal save zu drücken und man muss tatsächlich (habs eben 10x probiert) sein snort für die interfaces deaktivieren und wieder aktivieren damit der shit übernommen wird!
danach gehts aber ;) und es funktioniert bestens!
VIEL ERFOLG
Bei fragen.....pm
CLOSED