Messages

Hi everybody,
it seems to work. I have activated the rulesets of abuse.ch again and have not yet discovered any errors.

Greetings

Mario

Hi Werner

that was a good tip to disable the rules of abuse.ch. Since then Suricata runs without further problems.

Thanks and greetings

Mario

Hi Ad,

thank you for your support. Don´t worry....

Greetings

Mario

Hi Ad,

Thanks for the hint. Now the error message does not appear anymore, but Suricata stops after a few minutes. In the log no further entry appears.Do you have any idea what this may be?

Thanks in advance.

Mario

[suricata: [100165] <Error> -- [ERRCODE: SC_ERR_INVALID_SIGNATURE(39)] - error parsing signature "drop http $HOME_NET any -> $EXTERNAL_NET any (msg:"URLhaus Known malware download URL detected"; flow:established,from_client; content:"GET"; http_method; content:"/url=http://wordpress.p364918.webspaceconfig.de/614tiscfz/com/us|26|data=02|01|rcorm1@jcp.com|ec2a6ed25318490bd27608d6077bf11e|9c0ac0b90217468aa4322649cd6ed297|0|0|636704626242706015|26|sdata=g3qlynktc59ma3fllqbbfs0uwnigsem1mwi/cdfotvu=|26|reserved=0"; http_uri; depth:250; isdataat:!1,relative; content:"na01.safelinks.protection.outlook.com"; http_host; depth:37; isdataat:!1,relative; metadata:created_at 2018_08_21; reference:url, urlhaus.abuse.ch/url/45633/; classtype:trojan-activity;sid:80908733; rev:1;)^M" from file /usr/local/etc/suricata/opnsense.rules/abuse.ch.urlhaus.rules at line 3979]

Hello everybody,

I have a same problem.

suricata: [100165] <Error> -- [ERRCODE: SC_ERR_INVALID_SIGNATURE(39)] - error parsing signature "drop http $HOME_NET any -> $EXTERNAL_NET any (msg:"URLhaus Known malware download URL detected"; flow:established,from_client; content:"GET"; http_method; content:"/url=http://wordpress.p364918.webspaceconfig.de/614tiscfz/com/us|26|data=02|01|rcorm1@jcp.com|ec2a6ed25318490bd27608d6077bf11e|9c0ac0b90217468aa4322649cd6ed297|0|0|636704626242706015|26|sdata=g3qlynktc59ma3fllqbbfs0uwnigsem1mwi/cdfotvu=|26|reserved=0"; http_uri; depth:250; isdataat:!1,relative; content:"na01.safelinks.protection.outlook.com"; http_host; depth:37; isdataat:!1,relative; metadata:created_at 2018_08_21; reference:url, urlhaus.abuse.ch/url/45633/; classtype:trojan-activity;sid:80908733; rev:1;)^M" from file /usr/local/etc/suricata/opnsense.rules/abuse.ch.urlhaus.rules at line 3979

Is there already a solution?

Greetings

Mario

Besten Dank. Werde ich ausprobieren. Allerdings erst in ein paar Tagen, da ich beruflich ausserhalb bin. Ich werde mich dann noch einmal melden.

Hallo, erstmal besten Dank für deine Hilfe. Ich würde dir ja gerne mehr Futter geben, aber das Log gibt leider nur die Release- Version des Suricata als Eintrag her.Mehr nicht... Gibt es noch ein woanders Log-Files zum einsehen?

Leider nicht sehr aussagekräftig... Das Log gibt nicht viel her.

Ich warte bis zum nächsten Update. Vielleicht wird es dann wieder glatt gebügelt.

Habe ich mal versucht. War leider nix... :-[

Suricata geht nach einigen Minuten wieder auf Rot.

Ja..und da lief Suricata einwandfrei.

Hallo zusammen,

nach dem Update auf 18.1.12 stoppt Suricata nach ein paar Minuten Laufzeit. Nach einem Neustart des Service läuft Suricata ein paar Minuten, um dann erneut wieder die Arbeit einzustellen. Das Log gibt leider auch keinen Aufschluss. Gibt es hier einen Lösungsansatz?

Besten Dank im Voraus.

Gruß

Mario

Stelle intern alles auf IPv4 um. Auch die Box, so das die Sense eine v4-Adresse erhält. Dann sollte alles klappen.

Hallo,

ich habe die gleiche Box und bei mir funktioniert folgende Config:
OPNsense am WAN-Port auf DHCP stellen, so dass er eine Adresse von der Box bekommt. Du kannst die Range auf der Box ja noch eingrenzen.

Dann sollte der Connect funktionieren. Diese Config ist zwar nicht ganz sauber und es wird hier zweimal genattet, aber ich habe bisher noch keine Probleme gehabt.

Gefällt mir auch nicht, aber leider sind die Konfigurationsmöglichkeiten auf diesem Schrott- Router auch sehr begrenzt.

[vor]

Hallo noname12123,

zuerst sollte man dir für deinen Einsatz danken.
Aber aus Groll jetzt zu sagen, ich gehe jetzt zu PFsense, ist meiner Meinung nach der falsche Weg. PFSense hat auch seine Macken und auch da gibt es mit Sicherheit Licht und Schatten. Da ich schon einige "Jährchen" auf dem Buckel habe, auch in der IT, möchte ich dir einen guten Rat geben:
Bewerte die ganze Angelegenheit frei von Emotionen und kommuniziere. Spreche dich vor jedem Projekt mit den Entwicklern ab. Versetz dich mal in ihre Situation. Du hättest es bestimmt auch nicht gerne, wenn jemand an dir vorbei irgendwelche Änderungen an einem Sicherheits-System vornimmt. Es spielt dabei keine Rolle, um was es sich handelt. Meine Erfahrung ist, schon vorher seine Absichten den Verantwortlichen mitzuteilen und wichtige Details zu klären. So werden viele Missverständnisse im Vorfeld vermieden.
Lasse dir das in Ruhe einmal durch den Kopf gehen und du wirst mir später recht geben. Natürlich kenne ich nicht alle Hintergründe in diesem Fall. Daher sage ich schon mal Sorry, wenn ich mit meiner Beurteilung falsch liegen sollte.
Von meiner Seite würde ich es sehr bedauern, wenn wir so engagierte Leute wie dich verlieren. Ich denke, dass es andere Mitglieder auch so sehen.
Ich wünsch dir noch schöne Ostertage.

Gruß

Mario

Ich habe jetzt deinen anderen Thread gesehen... vergiss den letzten Vorschlag.
Kannst du den Client an das Modem anschliessen?