Sie sind nicht angemeldet.

Lieber Besucher, herzlich willkommen bei: Linux Forum Linux-Web.de. Falls dies Ihr erster Besuch auf dieser Seite ist, lesen Sie sich bitte die Hilfe durch. Dort wird Ihnen die Bedienung dieser Seite näher erläutert. Darüber hinaus sollten Sie sich registrieren, um alle Funktionen dieser Seite nutzen zu können. Benutzen Sie das Registrierungsformular, um sich zu registrieren oder informieren Sie sich ausführlich über den Registrierungsvorgang. Falls Sie sich bereits zu einem früheren Zeitpunkt registriert haben, können Sie sich hier anmelden.

1

24.10.2009, 00:18

snort3646: FATAL ERROR: FLOWBITS: The number of flowbit IDs in the current ruleset (513) exceed the

Hallo,

Ich nutze "snort -V"

,,_ -*> Snort! <*-
o" )~ Version 2.8.5.1 GRE (Build 114) inline i386
'''' By Martin Roesch & The Snort Team: http://www.snort.org/snort/snort-team
Copyright (C) 1998-2009 Sourcefire, Inc., et al.
Using PCRE version: 7.9 2009-04-11

im "Inline Modus" auf Linux Kernel 2.6.31.2 mit allen aktuellen "Sourcefire VRT Certified Rules – The Official Snort Ruleset (registered-user release)" und
"emergingthreats" Regeln. Seit ich von der snort Verion 2.8.4.1 auf Version 2.8.5 upgeradet hab, taucht in der snort log immer folgender Fehler
beim starten von snort auf (/usr/bin/snort -c /etc/snort/etc/snort.conf -A full -I -l /var/log/snort/ -s -D -Q -i eth0 -v) :

"snort3646: FATAL ERROR: FLOWBITS: The number of flowbit IDs in the current ruleset (513) exceed the maximum number of IDs that are allowed (512)."

in der "vi /etc/snort/etc/snort.conf" habe ich den Wert von "# config flowbits_size: 64" nach "config flowbits_size: 256" geändert, leider ohne Erfolg.

Hat jemand eine Lösung für dieses Problem oder weis Rat ?

Vielen Dank im Voraus
B.-D.

strcat

Unix Gladiator

  • »strcat« ist männlich

Beiträge: 2 330

Wohnort: /Earth/Germany/Bavaria/Regensburg

  • Nachricht senden

2

24.10.2009, 03:02

Christian 'strcat' Schneider <http://www.strcat.de/>
/* When all else fails, read the instructions. */

3

24.10.2009, 09:14

Wenn du mit dem Link auf die Konfiguration

Load /etc/snort_inline/snort_inline.conf in your favorite editor, and add a line reading:
config flowbits_size: 256
If you now try running snort_inline again, you should be presented with the familiar;
--== Initialization Complete ==--

anspielst, so sei gesagt, das ich es bereits ausprobiert habe, sowie oben beschreiben, leider ohne Erfolg.

Wie gesagt, dieser Fehler tritt bei mir erst ab der snort Version 2.8.5 auf. In der darunter liegenden Version ist soweit alles in Ordnung.

Um weitere Hilfe bin ich sehr dankbar.

MfG
B.-D.

strcat

Unix Gladiator

  • »strcat« ist männlich

Beiträge: 2 330

Wohnort: /Earth/Germany/Bavaria/Regensburg

  • Nachricht senden

4

24.10.2009, 17:19

Laut dem Link gehoert es in die snort_inline/snort_inline.conf und nicht in die snort.conf.
Christian 'strcat' Schneider <http://www.strcat.de/>
/* When all else fails, read the instructions. */

Thema bewerten