Thread Info
  • State Not Answered
  • Replies 7 replies
  • Subscribers 0 subscribers
  • Views 1146 views
  • Users 0 members are here
Options
Suggested

[7.920][BUG][FIXED] IPS + HTTP/S proxy

Flupke
Hi all,

When i upgraded to 7.920.
Could not make any connection any more to the internet(Meaning http traffic)
So i know that there are issues with IPS so disable IPS.
Then got an error messages that it can not find scanner.
Then disabled http/s Still not connection towards the internet.
Had to make a rule so i can connect to the internet.


Regards
Filip
  • 0 
    Astaro Beta Report

    --------------------------------

    Version: 7.920

    Type: BUG

    State: TESTED/FIXED

    Reporter: Flupke+

    Contributor: ElAdMi, darrenl

    MantisID: 13954

    Target version: 7.921

    Fixed in version: 7.921

    --------------------------------
  • 0 in reply to ElAdMi
    Not for me.
    Had to create a rule to make all connections to the internet
    Filip
  • 0
    @Flupke: Can you provide some more information? Do you use the http proxy in standard or transparent mode? Fully transparent? HTTPS scanning? What are your AV settings?
  • 0
    When HTTP/S proxy is in standard mode and IPS is turned on, I get the following error message in the IPS log which repeats every 60 seconds.  Browsing is only restored once IPS is turned off:


    2010:06:02-22:56:56 mercury-1 snort[26127]: Initializing rule chains...
    2010:06:02-22:56:59 mercury-1 snort[26127]: 6967 Snort rules read
    2010:06:02-22:56:59 mercury-1 snort[26127]: 6731 detection rules
    2010:06:02-22:56:59 mercury-1 snort[26127]: 64 decoder rules
    2010:06:02-22:56:59 mercury-1 snort[26127]: 172 preprocessor rules
    2010:06:02-22:56:59 mercury-1 snort[26127]: 6967 Option Chains linked into 606 Chain Headers
    2010:06:02-22:56:59 mercury-1 snort[26127]: 0 Dynamic rules
    2010:06:02-22:56:59 mercury-1 snort[26127]: +++++++++++++++++++++++++++++++++++++++++++++++++++
    2010:06:02-22:56:59 mercury-1 snort[26127]:
    2010:06:02-22:57:02 mercury-1 snort[26127]: +-------------------[Rule Port Counts]---------------------------------------
    2010:06:02-22:57:02 mercury-1 snort[26127]: | tcp udp icmp ip
    2010:06:02-22:57:02 mercury-1 snort[26127]: | src 3301 41 0 0
    2010:06:02-22:57:02 mercury-1 snort[26127]: | dst 2705 202 0 0
    2010:06:02-22:57:02 mercury-1 snort[26127]: | any 637 80 57 27
    2010:06:02-22:57:02 mercury-1 snort[26127]: | nc 644 44 12 8
    2010:06:02-22:57:02 mercury-1 snort[26127]: | s+d 11 17 0 0
    2010:06:02-22:57:02 mercury-1 snort[26127]: +----------------------------------------------------------------------------
    2010:06:02-22:57:02 mercury-1 snort[26127]: WARNING: gid:3, sid:16394. Fast pattern "only" flag used in combination with a fast pattern offset,length - honoring "only" flag and ignoring fast pattern offset,length.
    2010:06:02-22:57:02 mercury-1 snort[26127]: WARNING: Invalid content option in shared object rule: gid:3, sid:16394 : Fast pattern only contents cannot be relative or have non-zero offset/depth content modifiers. Rule will not be registered.
    2010:06:02-22:57:02 mercury-1 snort[26127]: WARNING: Invalid content option in shared object rule: gid:3, sid:15851 : Fast pattern offset and length cannot be greater than the length of the pattern. Rule will not be registered.
    2010:06:02-22:57:02 mercury-1 snort[26127]: WARNING: gid:3, sid:16167. Fast pattern "only" flag used in combination with a fast pattern offset,length - honoring "only" flag and ignoring fast pattern offset,length.
  • 0
    @darren: so your problem is related to IPS only. Can you please check if you get IPS running with fewer rules and post the results in this other thread?
  • 0 in reply to kbr
    I have the same issue.
    Even when i remove all rules off IPS then still no connection.
    I tried http in standard and in transparent and even in full transparent.
    If IPS is not running i am getting the following error.
    cannot connect to scanner.

    REgards
    Filip