pfSense forumlarında yazılan doğru ise 1.2.2 veya 1.2.3 versiyonlarında snort açılışta otomatik olarak engelleme yapmıyor. Sadece uyarı vermekle kalıyor.
Bunun için forumlarda yazan kısım Snort bölümündeki Setting sekmesinde her açılış için Save düğmesine basılması gerekliliği. Bunu şu şekilde algılayabiliriz. Eğer yaptığımız yanlış ayarlar sonucu kendi bağlantımızı da engellersek en azından sistemi açıp kapattığımızda düzelsin. Fakat bunun dezavantajı da var. Sistem elektrik kesintilerinden de kapanıp açılırsa ve biz sisteme müdahale edecek durumda değilsek, sistem sadece uyarı vermekle yetinir. Biz de sistem normal çalışıyor diye işimize bakarız.
Bunu şu şekilde kendimize göre düzenleyebiliriz.
Önce biz bu save düğmesine basınca neler değişiyor. Onu görelim.
winSCP ile baktığımızda /usr/local/etc/rc.d/snort.sh dosyasına bakalım.
Save düğmesine basmadan önceki hali bu
#!/bin/sh# This file was automatically generated
# by the pfSense service handler.
rc_start() {
Â
BEFORE_MEM=`top | grep Free | grep Wired | awk ‘{print $10}’`
/bin/mkdir -p /var/log/snort;/usr/bin/killall snort2c;sleep 8;snort -c /usr/local/etc/snort/snort.conf -l /var/log/snort -D -i le0 -q
echo “Sleeping before final memory sampling…”
sleep 17
AFTER_MEM=`top | grep Free | grep Wired | awk ‘{print $10}’`
echo “Ram free BEFORE starting Snort: ${BEFORE_MEM} — Ram free AFTER starting Snort: ${AFTER_MEM}” — Mode ac-sparsebands — Snort memory usage: $TOTAL_USAGE | logger -p daemon.info -i -t SnortStartup
}
rc_stop() {
/usr/bin/killall snort; killall snort2c
}
case $1 in
start)
rc_start
;;
stop)
rc_stop
;;
restart)
rc_stop
rc_start
;;
esac
Â
 Bastıktan sonraki durumu ise aşağıdaki.
Â
#!/bin/shÂ
# This file was automatically generated# by the pfSense service handler.
rc_start() {
Â
BEFORE_MEM=`top | grep Free | grep Wired | awk ‘{print $10}’`
/bin/mkdir -p /var/log/snort;/usr/bin/killall snort2c;sleep 8;snort -c /usr/local/etc/snort/snort.conf -l /var/log/snort -D -i le0 -q
sleep 8;snort2c -w /var/db/whitelist -a /var/log/snort/alert
echo “Sleeping before final memory sampling…”
sleep 17
AFTER_MEM=`top | grep Free | grep Wired | awk ‘{print $10}’`
echo “Ram free BEFORE starting Snort: ${BEFORE_MEM} — Ram free AFTER starting Snort: ${AFTER_MEM}” — Mode ac-sparsebands — Snort memory usage: $TOTAL_USAGE | logger -p daemon.info -i -t SnortStartup
}
rc_stop() {
/usr/bin/killall snort; killall snort2c
}
case $1 in
start)
rc_start
;;
stop)
rc_stop
;;
restart)
rc_stop
rc_start
;;
esac
Â
Görüldüğü gibi iki dosya arasında değişen komut sadece kırmızı ile işaretlenen kısım. Fakat siz sistem yeniden açıldığında dosya tekrar eski konumuna gelecektir. Biz şöyle bir yöntem yapabiliriz. Yeni bir .sh dosyası yapıp bu klasöre attığımızda otomatik olarak komut çalışır ve snort2c aktif olur. O halde deneyelim.
İsterseniz winSCP ile isterseniz vi komutuyla yeni dosya oluşturabilirsiniz. Eğer vi ile dosya oluşturacaksanız;
vi /usr/local/etc/rc.d/snort2c.sh komutuyla dosya oluÅŸturun.
İçerik olarak kırmızı işaretli komutları girelim. Yani sleep 8;snort2c -w /var/db/whitelist -a /var/log/snort/alert bu komutları. Bu snort2c yi yani engellemeleri yapan komutu çalıştıracak.
Dosyanın içine girdiğinizde klavyedeki insert düğmesi ile yazmaya başlayabilirsiniz.
Komutları yazdıktan sonra ESC düğmesine basın.
Ekrana :wq yazarak kaydedip çıkmış olursunuz.
Dosyanın başlangıçta çalışabilmesi için chmod 0755 /usr/local/etc/rc.d/snort2c.sh komutuyla yetki verelim.
Sistemi açıp kapattığınızda snort başlangıcından sonra sizin oluşturduğunuz dosya da gözükecek. Ve artık sistem açıp kapattığınızda bloklama işleviniz de olacak.
