IDS Eigene Regel hinzufügen

[hyper4d]

Hallo,

ich versuche gerade gemäß https://forum.opnsense.org/index.php?topic=7209.0 meine eigenen Suricata Regeln hinzuzufügen. Das scheitert jedoch daran, dass die Regeln nicht installiert/updated werden.
Die custom hinzugefügte Regeln bleiben bei "Not installed".

Steps zum reproduzieren:

1) Füge suricata/custom.rules zu der Website hinzu und schreibe da die Regeln rein. Habe jetzt myname.github.io benutzt. Das sollte doch klappen oder? Ist ja quasi ne normale website. Curl funktioniert auch:

Code Select Expand

curl https://myname.github.io/suricata/custom.rules
# This rule drops all tcp traffic on User Ports from the internet to your local network
drop tcp $EXTERNAL_NET any -> $HOME_NET [1024:1025] (msg:"Block User Ports"; classtype:bad-unknown; sid:9900001; rev:1;)

2) Erstelle custom.xml in /usr/local/opnsense/scripts/suricata/metadata/rules/ :

Code Select Expand

<?xml version="1.0"?>
<ruleset documentation_url="http://docs.opnsense.org/">
    <location url="https://myname.github.io/suricata/" prefix="custom"/>
    <files>
        <file description="CUSTOM RULES">custom.rules</file>
        <file description="Custom" url="inline::rules/custom.rules">custom.rules</file>
    </files>
</ruleset>


3) IDS Neustarten.
4) Ruleset finden und enablen.
5) "Download & Update Rules"

Und dann hängt sich Suricata genau bei der Regel auf. D.h. der Button zeigt an, dass geladen wird aber nix passiert mehr. Nach einem reload sieht man, dass nur die Regeln vor der custom rule geupdated haben.

Kann mir wer helfen was hier falsch ist?

P.S. Ich habe es übrigens auch mit raw.github... probiert - ging auch nicht. Bitte sagt mir nicht ich muss jetzt ernsthaft nen eigenen Webserver anmieten um vielleicht 3 Rules bereitzustellen...

Vielen Dank schon mal
MfG Martin

[lfirewall1243]

Glaube ehr die Rule hat einen Fehler und deswegen hängt ehr

Ist die Syntax genau so aufgebaut wie hier ?
https://github.com/opnsense/rules/blob/master/src/opnsense.mail.rules