[RESOLU] Snort et MNF ... je veux comprendre

[Gandalf]

Bonsoir tout le monde, et bien je reviens vers vous, toujours et encore avec mes histoires de Snort sur MNF !
J'ai simulé une déconnexion modem et j'ai regardé les logs que je vous résume ici ! Comme vous pouvez le voir, snort s'arrête bien correctement quand la connexion est down, mais ne remonte pas quand elle est de nouveau up ( comme le fait si bien ez-ipupdate ! )

Savez-vous comment je peux faire remonter snort dès que la connexion est OK ?

De plus la liste de crontab -l est vide !!! Comment les tâches gérées pas cron se lancent-elles ?

Merci à vous ( je deviens avec ce problème ! )

LOGS : pour les courageux !

Jul 20 22:06:55 mnf sshd(pam_unix)[31651]: session opened for user admin by (uid=500)
Jul 20 22:06:57 mnf pppd[3318]: No response to 3 echo-requests
Jul 20 22:06:57 mnf pppd[3318]: Serial link appears to be disconnected.
Jul 20 22:06:57 mnf kernel: device ppp0 left promiscuous mode
Jul 20 22:06:57 mnf snort: pcap_loop: recvfrom: Network is down
Jul 20 22:06:57 mnf kernel: device ppp0 entered promiscuous mode
Jul 20 22:06:57 mnf snort: Snort exiting
jui 20 22:07:00 mnf su(pam_unix)[31680]: session opened for user root by admin(uid=500)
Jul 20 22:07:00 mnf CROND[31721]: (root) CMD ( /usr/share/msec/promisc_check.sh)
Jul 20 22:07:03 mnf pppd[3318]: Connection terminated.
Jul 20 22:07:03 mnf pppd[3318]: Connect time 1680.4 minutes.
Jul 20 22:07:03 mnf pppd[3318]: Sent 292390796 bytes, received 61108805 bytes.
Jul 20 22:07:03 mnf pppoe[17614]: read (asyncReadFromPPP): Input/output error
Jul 20 22:07:03 mnf pppoe[17614]: Sent PADT
Jul 20 22:07:03 mnf pppd[3318]: Using interface ppp0
Jul 20 22:07:03 mnf pppd[3318]: Connect: ppp0 <--> /dev/pts/3
Jul 20 22:07:34 mnf pppd[3318]: LCP: timeout sending Config-Requests
Jul 20 22:07:34 mnf pppd[3318]: Connection terminated.
Jul 20 22:07:34 mnf pppd[3318]: Using interface ppp0
Jul 20 22:07:34 mnf pppd[3318]: Connect: ppp0 <--> /dev/pts/0
Jul 20 22:07:38 mnf pppoe[31725]: Timeout waiting for PADO packets
Jul 20 22:08:00 mnf CROND[31731]: (root) CMD ( /usr/share/msec/promisc_check.sh)
Jul 20 22:08:00 mnf /usr/bin/ez-ipupdate[17643]: (X.homelinux.net) unable to resolve interface ppp0

[…]

Jul 20 22:08:37 mnf pppd[3318]: Using interface ppp0
Jul 20 22:08:37 mnf pppd[3318]: Connect: ppp0 <--> /dev/pts/0
Jul 20 22:08:37 mnf pppoe[31738]: PPP session is 44773
Jul 20 22:08:39 mnf pppd[3318]: local IP address 212.x.x.x
Jul 20 22:08:39 mnf pppd[3318]: remote IP address 195.x.x.x
Jul 20 22:08:39 mnf pppd[3318]: primary DNS address 212.180.0.137
Jul 20 22:08:39 mnf pppd[3318]: secondary DNS address 212.180.1.79
jui 20 22:08:44 mnf ez-ipupdate: ez-ipupdate shutdown succeeded
Jul 20 22:08:44 mnf /usr/bin/ez-ipupdate[31767]: ez-ipupdate Version 3.0.11b8, Copyright (C) 1998-2001 Angus Mackay.
Jul 20 22:08:44 mnf /usr/bin/ez-ipupdate[31767]: /usr/bin/ez-ipupdate started for interface ppp0 host X.homelinux.net using server members.dyndns.org and s
ervice dyndns
Jul 20 22:08:44 mnf /usr/bin/ez-ipupdate[31767]: got last update 212.x.x.x on 2005/07/07 21:13 from cache file
jui 20 22:08:44 mnf ez-ipupdate: ez-ipupdate startup succeeded

[Franck78]

Snort dégage automatiquement dès que l'interface qu'il 'écoute' disparait. ppp dans ce cas.

Il faut simplement le relancer une fois que ppp0 est remontée, en général dans /etc/ppp/.... un script bien placé du genre "ipup.local", contenant "/usr/bin/snort"


voila

[Gandalf]

Merci Franck, mais peux-tu me dire comment le relancer automatiquement ! Quel script faut-il que je modifie pour appeler snortd, comme doit l'être ez-ipupdate ( qui correspond à la synchro dyndns ) ? Je n'en ai aucune idée .....

[micjack]

Perso je ne connait pas la MNF, mais quand j'ai service qui doit justemnt demarrer avec un autre, je vais dans le sens comme expliqué par Franck (si j'ai bien compris sa combine)

Genre sur ma RH9 j'ai plusieurs script bidouillés qui vont dans le meme sens.

La c'est qu'un exemple (j'utilise pas pppd avec mon modem USB)

Tu recherche ou se lance pppd et snortd (normalement on en avait deja discuté)
Si c'est le bon chemin, tu edite /etc/rc.d/init.d/pppd et tu met au bon endroit (entre le debut et la fin de de la section start)

Code: Tout sélectionner

start () {

Apres "{" ou avant "}" la ligne complete ./etc/rc.d/init.d/snortd
Ou sans connaitre le chemin, et c'est plus propre
service snortd start

Avec ca, ca devrait le faire

[Gandalf]

Merci beaucoup Franck et Michael, je crois que j'ai compris : en fait quand ppp tombe un script se lance, c'est /etc/ppp/ip-up.local, et dedans il ya effectivement le relancement de ez-ipupdate. Voilà sa syntaxe :

"/etc/ppp/ip-up.local :

[ -x /etc/init.d/ez-ipupdate ] && /etc/init.d/ez-ipupdate restart "$@"

C'est donc ici que je dois inscrire un truc du genre "service snortd restart" ! Mais là où je vous demanderai un dernier coup de pouce c'est pour la syntaxe à employer ( à moins que ça suffise !?! ), car je n'en ai strictement aucune idée, et je vais éviter de faire des tests sur le firewall de prod ...

Merci et bon week end !

[micjack]

Je n'ai pas ce service "ez-ipupdate" sur ma Redhat, mais si c'est celui qui te relance ou mes à jours ton IP, enfin, celui qui te redonne une connexion..

Il suffit simplement de rajouter "service snortd restart" dans la section "start" ou "restart" de ez-ipupdate.

Par contre, faut etre sûr, si c'est vraiment "ez-ipupdate" qui te redonne une connexion, rien n'empeche qu'il se lance en meme temp que pppd (faut voir avec les deux, si ez-ipupdate ne donne rien)

[Gandalf]

Salut Michael, non en fait ez-ipupdate est le service dyndns de MNF, ce n'est pas celui qui me redonne une connexion. celui qui me redonne une connexione est ip-up, et ensuite vient le ip-up.local dans le quel on place les services persos qui doivent redémarrer ( merci franck )!

La ligne que j'ai inscrite plus haut est la ligne de commande qui sert à relancer la synchro dyndns entre mon IP et mon nom de domaine. Ce que je me demandais donc c'était quelle syntaxe à utiliser pour faire repartir snort, est-ce que service snortd restart suffirait à ton avis ?

[micjack]

Oui, ajouter cette ligne suffit (dans n'importe quel script au bon moment)

Je ne pense pas que snort doit obligatoirement demarrer avec ez-ipupdate, avec pppd cela doit suffire

Jul 20 22:08:37 mnf pppd[3318]: Using interface ppp0 <---- Depuis la
Jul 20 22:08:37 mnf pppd[3318]: Connect: ppp0 <--> /dev/pts/0
Jul 20 22:08:37 mnf pppoe[31738]: PPP session is 44773
Jul 20 22:08:39 mnf pppd[3318]: local IP address 212.x.x.x
Jul 20 22:08:39 mnf pppd[3318]: remote IP address 195.x.x.x
Jul 20 22:08:39 mnf pppd[3318]: primary DNS address 212.180.0.137
Jul 20 22:08:39 mnf pppd[3318]: secondary DNS address 212.180.1.79

Ou effectivement
jui 20 22:08:44 mnf ez-ipupdate: ez-ipupdate shutdown succeeded
Jul 20 22:08:44 mnf /usr/bin/ez-ipupdate[31767]: ez-ipupdate Version 3.0.11b8, Copyright (C) 1998-2001 Angus Mackay. <---- (il demarrera plus tard, c'est tout )
[..]
Jul 20 22:08:44 mnf /usr/bin/ez-ipupdate[31767]: /usr/bin/ez-ipupdate started for interface ppp0 host X.homelinux.net using server members.dyndns.org and s
ervice dyndns
Jul 20 22:08:44 mnf /usr/bin/ez-ipupdate[31767]: got last update 212.x.x.x on 2005/07/07 21:13 from cache file
jui 20 22:08:44 mnf ez-ipupdate: ez-ipupdate startup succeeded

Voila, apres j'ai plus d'idée, puisque y'a que ces deux script (et encore j'ai un doute, puisque dans /usr/bin/ "ez-ipupdate" serait plutot une commande, faut trouver son script si avec celui de pppd cela ne fonctionne pas )

Et tu as effectivement aussi "ip-up" (que je ne connais pas) Mais en tout cas, rien à craindre de metre ta ligne dans l'un des script qui se relance apres un down (c'est juste histoire de faire appel au script snort par l'un d'eux) le seul risque, ca marche ou marche pas... Et comme deja dit , si c'est un script qui demarre au bon moment, ca va.

[Gandalf]

Voilà la fin d'une (més)aventure, ça fonctionne maintenant, en rajoutant la ligne de redémarrage dans /etc/ppp/ip-up.local. Merci à tous pour votre aide !