Suricata blockt ohne Eintrag

Started by lenny, September 21, 2020, 10:40:25 AM

Previous topic - Next topic
Print
Go Down Pages 1 2
User actions
September 24, 2020, 10:24:08 AM #15
Hiho,
Suricata ist ein Thema für sich. Ich habe auch schon unterschiedliche Erfahrung damit gemacht. Mir ist aufgefallen, dass manche Update- oder Wiederherstellungs-Prozesse nicht richtig sauber durchlaufen.
Ich hatte zum einem das Problem, dass ich manche Spiele nicht zocken konnte, weil Suricata über den Block jener Dienste geschwiegen hat. Und ich meine mit schweigen tatsächlich, es wurde rein gar nichts geloggt. Ich habe mich dumm und dämlich gesucht. Es gab keine Meldung.
2. Problem war dass Suricata über einen längeren Zeitraum nichts geloggt hat.
Natürlich habe ich mehrfach die rules gecheckt und genau die die eigentlich hätten loggen solle, taten es nicht.

Weil ich Opnsense nicht komplett neuinstallieren wollte, habe ich folgendes probiert:
WAN Kabel zur Sicherheit gezogen, Suricata über das Dashboard disabled und dann über die Opnsense Pakete reinstalliert. Anschließend OPNsense neugestartet. Nachdem hochfahren den Dienst wieder aktiviert und alle Rules neu heruntergeladen.
Ohne Erfolg.

Gleiches prozedere, nur diesmal habe ich über das Terminal "suricata-update" gestartet. LEider auch ohne Erfolg.

Das Einzige das wirklich geholfen hat war, Backup von OPNsense machen und neuinstallieren. Nur so hat Suricata wieder normal funktioniert.

Es ist also nicht unbedingt ein konfigurationsfehler von dir. Es kommt scheinbar durchaus vor, dass Suricata ab einem gewissen Punkt nicht mehr Ordnugnsgemäß funktioniert, obwohl das in den Logs nicht richtig ersichtlich wird. Ob es an den Intel NIC's liegt, weiß ich nicht... ich habe auch welche. Würde mich interessieren, ob die probleme verursachen.
September 25, 2020, 09:22:47 AM #16
Das halte ich für ein Gerücht .. ansonsten würde das hier keine benutzen wenn das ein generelles Problem ist.
September 28, 2020, 09:25:10 PM #17
Es muss kein generelles Problem sein. Bei mir lief es vom sprung von 20.1 auf 20.7 nicht mehr richtig. Es kann sich immer um Einzelfälle handeln.
September 29, 2020, 06:01:02 AM #18
Von 20.1 auf 20.7 gab es ein Problem mit syslog, eventuell lags daran dass nichts geloggt wurde. Ist jetzt aber alles wieder funktional
October 02, 2020, 11:47:48 AM #19
Das "Neumachen" war wohl ein ganz guter Tipp...
Zumindest funktioniert es bisher seit einem Tag. Ohne Blockierung. Ohne Log.
Mal sehen, wie es sich weiter verhält.
Print
Go Up Pages 1 2
User actions