Plus d'update snort?

[Letoine]

Je ne connais quasiement rien à Linux (bien qu'ayant commencé à tenter d'y comprendre depuis MDK 7 et Potatoes) et j'ai besoin aujourd'hui d'une solution antispam pour moins de 5000€...

J'étais en train de monter mon lab IPCOP + CopFilter en amont de Microsoft Exchange (stop troll pour Exch svp).

Je me suis senti con avec mon erreur Snort et j'ai appliqué le patch de Vehrsey :
--> MERCI ENORMEMENT !! Tout roule, je peux continuer d'apprendre

Le toine

[jdh]

Quelques commentaires (que vous prendrez comme vous l'entendez) :


- quel est le besoin ? un antispam ou un bricolage firewall-antivirus-antispam-anti-intrusion-ipds
- avez vous lu les fils parlant de copfilter sur le forum ?
- cela vous fait-il réfléchir sur la stabilité/l'intérêt de ce couple ipcop/copfilter ?
- avez vous lu le post de loberty (dernier post, page 2) sur http://forums.ixus.fr/viewtopic.php?t=41221 ? (Il FAUT le lire !)
- êtes vous conscient du niveau d'expertise nécessaire à un bon usage de snort ? (perso, je n'ai pas le niveau)
- snort est-il nécessaire/utile/indispensable pour mettre une messagerie en place ?
- peut-on connaitre le prix d'une solution sans connaitre la solution ?

- vous êtes vous relu ? quel est le rapport entre snort et solution anti-spam ?

- pourquoi vouloir/faire un troll anti-exchange ? (ne serait ce pas anti-productif ?)

[ccnet]

Ni Snort, ni ipcop ne sont des outils adaptés au filtrage de la messagerie. CopFilter est discutable par construction (sa présence sur le firewall).
Les outils pour ce travail sont d'une part un serveur de mail solide configuré en relai. Postfix reste une référence en ce domaine, et par exemple Spamassassin Le grey listing est une option fort intéressante à considérer.
Comme vous n'êtes pas un linuxien chevronné et que cette configuration n'est pas absolument triviale à réaliser, il reste la solution d'une distribution comportant toutes les briques nécessaires. Vous pouvez regader dans ce domaine SME et Clarkconnect. Les deux fonctionnent fort stablement. J'ai une préférence pour ClarkConnect parce qu'elle utilise Postfix comme serveur de mail. Son interface me semble aussi plus complète pour ce besoin. Je n'ai pas regardé les versions récentes de SME.
J'ai une bonne demie douzaine de CC en production chez des clients depuis plusieurs années qui donnent satisfaction sans intervention particulière.
J"ai détaillé ici amplement les améliorations possibles sur la configuration de base.

[Mister-Magoo]

...
Je me suis senti con avec mon erreur Snort et j'ai appliqué le patch de Vehrsey :
--> MERCI ENORMEMENT !! Tout roule, je peux continuer d'apprendre :
Le toine

De mon coté, j'ai appliqué aussi le patch, ça a marché quelques temps pour la mise à jour. Depuis une semaine, plus de mise à jour de nouveau ...

[Vehrsey]

Il est possible que tu as téléchargé l'ancienne version de patch que j'avais posté juste un ou deux jours avant de procéder à quelques rectifications sur celui-ci.
Re-télécharge le patch et recommence la procédure.

[Mister-Magoo]

Ah oui, ça marche bien mieux comme ça ...
Merci !!

[Koj]

Voici le patch que j'ai fais pour que Snort 2.8.4.1 fonctionne sur Ipcop 1.4.21 (I386/I686/I586/I486). Vous pouvez l'obtenir sur ce lien :

http://kenzisky.olympe-network.com/forums/download/ipcop-1.4.21-snort-update.i386.tar.gz

MD5: 44c9a2cebc0c656a5d151d78c53089a1

Transférer le fichier sur Ipcop :
Activer SSL sur Ipcop à l'aide de votre navigateur, puis transférer le fichier sur Ipcop à l'aide de la commande SCP.

scp -P 222 /home/votre_user/ipcop-1.4.21-snort-update.i386.tar.gz root@VOTRE_IP_IPCOP:/home

Sur Ipcop 1.4.21 se loger en root, décompresser le fichier puis installer le patch :

# cd /home
# tar zxvf ipcop-1.4.21-snort-update.i386.tar.gz
# ./setup

Bonjour,

Je suis du monde windows et j'utilise IPCOP chez moi. Mon poste client est sous Vista 64 bits.
Je n'utilise jamais SCP. J'ai donc cherché un peu et j'ai :
-1- téléchargé WinSCP à http://winscp.net/eng/download.php pour la version Française
-2- installé WinSCP
-3- ouvert une connection sur mon IPCOP avec root, en SCP, port 222, et accepté la clé de cryptage de l'ipcop.
-4- envoyé le fichier dans /home (par défaut on est dans le dossier de root)
-5- lancé Putty et me suis connecté à mon ipcop en SSH port 222, en root
-6- me suis déplacé dans le dossier home avec la commande "cd /home"
-7- lancé la commande "tar zxvf ipcop-1.4.21-snort-update.i386.tar.tar"
-8- lancé la commande "./setup" (sinon c'est le setup d'IPCOP qui se lance)
Apparait :
Installing Snort 2.8.4.1. Please wait ...
Snort 2.8.4.1 update installed.
-9- effacé les fichiers ajoutés et décompressés
-10- rebooté ipcop pour vérifier que tous les modules demarrent bien au boot.
-11- reconnecté l'interface web d'ipcop et actualisé les mises à jour de SNORT
-12- vérifié l'update : Processing downloaded rules... disabled 0 enabled 0 modified 0 total=7157

Merci pour le patch !

Koj

PS : j'utilise IIS, DNS, EXCHANGE, et FTP (mais pas celui de MS)

[psykoside]

Bonjour, merci beaucoup du patch pour l'update de snort.

Par contre j'ai un soucis, je peut "actualiser la liste de mise à jour" et "télécharger la liste de mise à jour" mais j'ai une erreur quand je clic sur "appliquer maintenant" :

"2 défaut(s) de Snort à démarrer "

les deux interface eth0 et eth1 (red et green) restent dans l'état "Arrêté" alors qu'avant l'update elles étaient fonctionnelles !

Ipcop 1.4.20 vierge juste l'update 1.4.21 et MAJ snort.

Config Ipcop : P4 2.4Ghz - 2Go ram - 40Go dd

Une idée ?

Merci

Édit : je vient de voir que la version de snort actuelles est 2.8.5.3 alors que le patch est en version 2.8.4.1.

C'est sa non ?

désolé de mon ignorance en la matière

[Vehrsey]

Le patch snort 2.8.5.3 est disponible sur la page précédente.
Bonne mise à jour

[Plattypus]

merci

[Vehrsey]

Mettez à jour votre Ipcop en 1.4.23.
J'ai compilé Ipcop 1.4.23, les patch des derniers mise à jour d'Ipcop sont disponibles ci-dessous pour ceux qui souhaitent passer de 1.4.21 à 1.4.23.

Il y a deux patchs, 1.4.22 et 1.4.23:

http://dl.free.fr/v3nORkIAZ (1.4.22) ou bien ici: Patch 1.4.22

MD5 : ae886f91ea69361f2864e537668afc67

http://dl.free.fr/vAvrTMGBL (1.4.23) ou bien ici: Patch 1.4.23

MD5 : b173607db357de379b2f685a55e3367f


Transférer les fichiers sur Ipcop :

Activer SSL sur Ipcop à l'aide de votre navigateur, puis transférer les fichiers sur Ipcop à l'aide de la commande SCP.

scp -P 222 /home/votre_user/ipcop-1.4.22-update.i386.tgz root@VOTRE_IP_IPCOP:/home

scp -P 222 /home/votre_user/ipcop-1.4.23-update.i386.tgz root@VOTRE_IP_IPCOP:/home

Sur Ipcop 1.4.21 se loger en root, décompresser le fichier puis installer le patch 1.4.22 :

# cd /home
# tar zxvf ipcop-1.4.22-update.i386.tgz
# ./setup
# reboot

Sur Ipcop 1.4.22 se loger en root, décompresser le fichier puis installer le patch 1.4.23 :

# cd /home
# tar zxvf ipcop-1.4.23-update.i386.tgz
# ./setup
# reboot

[Poky]

Bonjour,

Le lien pour l'update 1.4.22 à un soucis. Il a l'air dead !

[Vehrsey]

Deux liens supplémentaires ajoutés.

[Koj]

Bonjour,

J'ai patché avec le 1.4.22 et rebooté sans souci.
Mais le patch 1.4.23 reste bloqué sur :

root@ipcop:/home # ./setup
Installing 1.4.23 update patch for IPCop 1.4.22.
Selected kernel acpci single ,line 2

Je ne récupère pas la main sur le shell ensuite.
Une idée ? Comment vérifier qu'il a fini ? (je suis pas linuxien, je connais un peu mais sans plus)

A ben 5 mn plus tard il a fini de compiler je pense...

1.4.23 update installed.



Ceci dit ca ne me dépanne pas du message d'erreur quand je check les maj de SNORT :
L'auxiliaire d'aide a donné un code d'erreur: HTTP::Response=HASH(0x82a3c1c)->code

Vous pensez que mon Oink a été effacé ? (derniere maj snort fin février)

Koj

[Vehrsey]

Bonjour,

Il y a une nouvelle mise à jour à effectuer pour que snort 2.8.5.3 fonctionne.
Le fichier "snortrules.pl" est à modifier.

Vous pouvez obtenir le patch ici :

Patch2853 -------------> (Patch obsolète n'existe plus) voir les pages suivantes ... (mise à jour 14/07/10)


Comme habituellement transférer le patch sur Ipcop puis lancer le patch en root :

# cd /home
# ./patch_oink2853[/code]

voir les pages suivantes ...