Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 9 replies
  • Subscribers 2 subscribers
  • Views 26966 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

IPS: Edit snort.conf

daniel_sun
Hi all,

I have a software appliance (now: UTM 9.104-17, before: ASG 8...). This error:
S5: Session exceeded configured max bytes to queue 1048576 using 1049100 bytes (client queue)
continues now since version 8 of the firewall and I had to disable IPS from time to time, because large downloads was always interrupted. Now on holidays I have the time to resolve that issue, but I don´t know how to edit astaro conf files via shell. In this case it´s /etc/snort/snort.conf. I want to edit the "MAX_QUEUED_BYTES" parameter to a higher value. But everytime i was editing the file and restart IPS the conf file is as before. I looked at /etc/sysconfig/snort but this file seems the wrong one...Can anybody tell me how to edit this file so my new value stays there, even after restarting?
to which value would you change the parameter? Now it´s 1048576 and I would change that to 3145728, is this enough or to much?
I only have a home license so the support can´t help me...

My Hardware:
Intel Atom 1,6 Ghz
4 GB Ram
2x NICs

Thanks for your help!
- daniel


This thread was automatically locked due to age.
  • 0
    All daemons are chrooted in astaro. The file you are looking for is under /var/chroot-snort/etc/snort/snort.conf-default

    Edit: You can also change these settings via cc. Login via shell and use the following commands
    cc
    ips
    snortsettings
    max_queued_bytes$
  • 0
    hi billybob,
    thanks for reply! Unfortunately in your mentioned file there is no parameter "MAX_QUEUED_BYTES" nor the byte size 1048576...any suggestions?
  • 0
    i tested it via cc and I get following error:

    127.0.0.1 MAIN ips/snortsettings > max_queued_bytes$
    0
    127.0.0.1 MAIN ips/snortsettings/max_queued_bytes (INTEGER:0,1024-1073741824) > 4194304
    Syntax error, or no such command, node, array, hash or scalar.

    Why is the default value at the moment 0?
  • 0 in reply to daniel_sun
    The cc command would go like below 
    cc set ips snortsettings max_queued_bytes 3145728

    You are right about the conf file. I tired changing the stream5 global settings by adding 
    MAX_QUEUED_BYTES 3145728
    and it didn't make any difference in the snort log files.

    You can try the cc command as above but some values are hard coded in astaro and may not be configurable.
  • 0 in reply to Billybob
    To get the current value type 
    cc get ips snortsettings max_queued_bytes

    But the value is still the same in the logs which means its hard coded somewhere
  • 0 in reply to Billybob
    Ok, I figured it out, the cc command is not working but you can change the config file. I was adding the max_queued_bytes under global config but its a TCP directive
    So change your /var/chroot-snort/etc/snort/snort.conf-default file as below 

    ----------SNIP-------------

    # Target-Based stateful inspection/stream reassembly.  For more inforation, see README.stream5

    preprocessor stream5_global: track_tcp yes, \

       track_udp yes, \

       track_icmp no, \

       max_tcp 262144, \

       max_udp 131072, \

       max_active_responses 2, \

       min_response_seconds 5

    preprocessor stream5_tcp: policy windows, detect_anomalies, require_3whs 180, \

      max_queued_bytes 3145728, [/COLOR]

       overlap_limit 10, small_segments 3 bytes 150, timeout 180, \

        ports client 21 22 23 25 42 53 79 109 110 111 113 119 135 136 137 139 143 \

            161 445 513 514 587 593 691 1433 1521 2100 3306 6070 6665 6666 6667 6668 6669 \

            7000 8181 32770 32771 32772 32773 32774 32775 32776 32777 32778 32779, \

        ports both 80 81 311 443 465 563 591 593 636 901 989 992 993 994 995 1220 1414 1830 2301 2381 2809 3128 3702 5250 7907 7001 780

            7801 7900 7901 7902 7903 7904 7905 7906 7908 7909 7910 7911 7912 7913 7914 7915 7916 \

            7917 7918 7919 7920 8000 8008 8028 8080 8088 8118 8123 8180 8243 8280 8888 9090 9091 9443 9999 11371

    preprocessor stream5_udp: timeout 180

    

    --------------SNIP-------------

    [/CODE]and it works fine
  • 0
    ok thanks, this time it worked! 
    I set it to the max. value of 1073741824 and it seems working now. Large file downloads (I took an iso file from an opensuse mirror) are now possible, but only if I disable all rules...but as far as I can see, thats a problem with some rule:

    2013:08:08-22:49:37 astaro snort[12479]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="drop" reason="FILE-OTHER Multiple products ZIP archive virus detection bypass attempt" group="500" srcip="***.XX.XX.XX" dstip="192.168.1.106" proto="6" srcport="80" dstport="61199" sid="26989" class="Potentially Bad Traffic" priority="2"  generator="1" msgid="0"

    This happens everytime I download the iso and 390 mb are downloaded.^^

    - daniel

    ps. In the logfile the old entry:
    S5: Session exceeded configured max bytes to queue...
    is still there but with the new size that i set with the cc command...and downloading works!
  • 0
    Hi,
    If you're still having trouble, you can manually disable rule 26989 by using the "Rule Modification" feature, on the last tab of the IPS settings.

    Barry
  • 0
    Hi Barry,

    thanks for that hint. I disabled all rules that I don´t need in my home network and the error is gone, so rule 26989 was somewhere in other categories...
    At the end, astaro works finally with IPS without problems...thanks for the qualified support here!

    - daniel
Unfiltered HTML