Snort

Suricata auf pfSense mit blockoffenders aktiv — und täglich Totalausfall der gesamten Hetzner-Infrastruktur. Die eigene WAN-IP stand in der snort2c-Tabelle. Ursache: leere Passlist (wanaddr/lanaddr/vpnaddr fehlten), kaputte Passlist-Referenz aus der Snort-Migration, und Snort lief parallel noch mit.

Snort 2.9.x ist End-of-Life. Wer auf pfSense noch Snort betreibt, sollte jetzt auf Suricata wechseln. Dieser Artikel zeigt wie die Migration vollautomatisch via PHP-API funktioniert — inkl. der drei Fallen die mich Stunden gekostet haben.