Added fwsnort-1.6 ChangeLog, ShortLog and diffstat files.
[fwsnort.git] / ChangeLog-v1.6
1 commit 00dd168ac015fb64028dc87d5949d768d56a2598
2 Author: Michael Rash <mbr@cipherdyne.org>
3 Date:   Thu Jul 28 20:40:36 2011 -0400
4
5     Updated ChangeLog and added the ShortLog file
6     
7     Minor change to update the global ChangeLog and added the ShortLog file.
8
9 commit c9982963632825c6ddd2666a0bee9643a363de3b
10 Author: Michael Rash <mbr@cipherdyne.org>
11 Date:   Thu Jul 28 20:19:41 2011 -0400
12
13     Added iptables capabilities test for COMMENT len
14     
15     In keeping with the ability to test the capabilities of iptables where fwsnort
16     is deployed, added the ability find the maximum length of a string provided to
17     the COMMENT match.  This match is used to store Snort rule information within
18     the running fwsnort policy.
19
20 commit 9f93d921ebdfdfa03549aa2a7058e2b71d1b15b1
21 Author: Michael Rash <mbr@cipherdyne.org>
22 Date:   Tue Jul 26 22:17:08 2011 -0400
23
24     Added the ChangeLog file for 'git log' output.
25     
26     The complete ChangeLog is derived from 'git log' with this commit.  Version-
27     specific change logs will be included with each release.
28
29 commit 859958655bc272ffa0413fe9ba4568046a7b5f73
30 Author: Michael Rash <mbr@cipherdyne.org>
31 Date:   Tue Jul 26 22:12:02 2011 -0400
32
33     Bumped version from 1.5 to 1.6
34     
35     Bumped version from 1.5 to 1.6 in preparation for the upcoming release.
36
37 commit 3adc5b28e08cb658fd5bbb4cc0b367471c03077e
38 Author: Michael Rash <mbr@cipherdyne.org>
39 Date:   Tue Jul 26 21:53:52 2011 -0400
40
41     Renamed ChangeLog -> ChangeLog.old
42     
43     Renamed ChangeLog -> ChangeLog.old after the svn -> git conversion.  All
44     ChangeLog* files from now on will conform to:
45     
46     ChangeLog.v<num>   <-- This is the change log for the released version.
47     ChangeLog          <-- The complete log output from git.
48
49 commit 409b78468d2e6f136d18e4a9e4528bce2e65cc06
50 Author: Michael Rash <mbr@cipherdyne.org>
51 Date:   Thu Jul 21 23:03:29 2011 -0400
52
53     Added support for rules updates from several URL's
54     
55     Added support for grabbing Snort rules from multiple URL's via a new variable
56     UPDATE_RULES_URL in the /etc/fwsnort/fwsnort.conf file.  This variable can be
57     specified multiple times.
58
59 commit fe692d2ece6d986a92fa6277cd1c55238145f401
60 Author: Michael Rash <mbr@cipherdyne.org>
61 Date:   Wed Jul 20 23:00:07 2011 -0400
62
63     Added --queue-pre-match-max <num> argument
64     
65     Added a new command line arg --queue-pre-match-max <num> that allows the number
66     of patterns that will be matched within the kernel before sending a packet to
67     a userspace Snort instance (via the QUEUE or NFQUEUE targets) to be limited.
68     
69     Here is an example for the "ET WEB_CLIENT Possible Internet Explorer srcElement
70     Memory Corruption Attempt" signature from Emerging Threats (sid 2010799).
71     First, here is the original rule:
72     
73     alert tcp $EXTERNAL_NET $HTTP_PORTS -> $HOME_NET any (msg:"ET WEB_CLIENT Possible Internet Explorer srcElement Memory Corruption Attempt"; flow:established,to_client; file_data; content:"document.createEventObject"; distance:0; nocase; content:".innerHTML"; within:100; nocase; content:"window.setInterval"; distance:0; nocase; content:"srcElement"; fast_pattern; nocase; distance:0; classtype:attempted-user; reference:url,www.microsoft.com/technet/security/bulletin/ms10-002.mspx; reference:url,tools.cisco.com/security/center/viewAlert.x?alertId=19726; reference:url,www.kb.cert.org/vuls/id/492515; reference:cve,2010-0249; reference:url,doc.emergingthreats.net/2010799; reference:url,www.emergingthreats.net/cgi-bin/cvsweb.cgi/sigs/CURRENT_EVENTS/CURRENT_MSIE; sid:2010799; rev:5;)
74     
75     The translated rule is shown below in the iptables-save format after running
76     the command "fwsnort --no-ipt-sync --no-ipt-rule-num --NFQUEUE --snort-sid 2010799":
77     
78     -A FWSNORT_FORWARD_ESTAB -p tcp -m tcp --sport 80 -m string --string "srcElement" --algo bm --from 82 --icase -m string --string "document.createEventObject" --algo bm --from 64 --icase -m string --string ".innerHTML" --algo bm --to 190 --icase -m string --string "window.setInterval" --algo bm --from 74 --icase -m comment --comment "sid:2010799; msg:ET WEB_CLIENT Possible Internet Explorer srcElement Memory Corruption Attempt; classtype:attempted-user; reference:url,www.microsoft.com/technet/security/bulletin/ms10-002.mspx; rev:5; FWS:1.5;" -j NFQUEUE
79     
80     Now, by using the --queue-pre-match-max argument, instead of forcing iptables
81     to match on all four patterns in the original rule, we limit it to matching
82     only the first pattern.  Note also that fwsnort has interpreted the 'fast_pattern'
83     keyword so that the "srcElement" pattern is searched for instead of the pattern
84     "document.createEventObject" which is the first to appear in the original rule.
85     
86     Here is the command:
87     
88     fwsnort --no-ipt-sync --no-ipt-rule-num --NFQUEUE --snort-sid 2010799 --queue-pre-match-max 1
89     
90     The translated rule is now:
91     
92     -A FWSNORT_FORWARD_ESTAB -p tcp -m tcp --sport 80 -m string --string "srcElement" --algo bm --from 82 --icase -m comment --comment "sid:2010799; msg:ET WEB_CLIENT Possible Internet Explorer srcElement Memory Corruption Attempt; classtype:attempted-user; reference:url,www.microsoft.com/technet/security/bulletin/ms10-002.mspx; rev:5; FWS:1.5;" -j NFQUEUE
93
94 commit 800584c9c9cdd0158fecb5b42982f084ea0f830a
95 Author: Michael Rash <mbr@cipherdyne.org>
96 Date:   Sun Jul 17 14:25:05 2011 -0400
97
98     Minor man page wording update for NFQUEUE mode
99     
100     Minor man page wording update for NFQUEUE mode to make sure to convey to the
101     reader the need to disable the stream preprocessor for the userspace
102     snort_inline instance.
103
104 commit 80ee4a9ff0707affb860ba9ff409082ce2e294be
105 Author: Michael Rash <mbr@cipherdyne.org>
106 Date:   Sun Jul 17 14:20:54 2011 -0400
107
108     Added iptables capabilities test for NFQUEUE modes
109     
110     Added a test to see whether iptables supports either the QUEUE or NFQUEUE
111     targets in --QUEUE and --NFQUEUE modes respectively.
112
113 commit acbafc7a486001d4d02437b78b2ca4464ca6dccf
114 Author: Michael Rash <mbr@cipherdyne.org>
115 Date:   Sun Jul 17 13:09:57 2011 -0400
116
117     Bugfix to support --NFQUEUE mode
118     
119     With the recent code refactoring for the Snort 'fast_pattern' keyword, the
120     --QUEUE and --NFQUEUE modes were broken in the process.  This changes restores
121     these modes:
122     
123     ./fwsnort --no-ipt-sync --NFQUEUE |grep Generated
124     [+] Generated iptables rules for 12916 out of 13131 signatures: 98.36%
125
126 commit 0ca89dcbd981ac4c122754f3edf0ce1a2d4e55f0
127 Author: Michael Rash <mbr@cipherdyne.org>
128 Date:   Sun Jul 17 12:39:16 2011 -0400
129
130     Ignore http_uri, http_method, and urilen
131     
132     iptables has no good way to support the http_uri, http_method, and urilen Snort
133     keywords, so this change ignores them.  The tradeoff is that certain signatures
134     may have a higher rate of false positives, but detection may outweigh this for
135     rules like this one:
136     
137     alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (msg:"ET TROJAN Unknown Generic Trojan Checkin"; flow:established,to_server; content:"unit_id="; http_uri; content:"&uv_id="; http_uri; content:"&uv_new="; http_uri; content:"&url="; http_uri; content:"&charset="; http_uri; content:"&hashval="; http_uri; content:"&app="; http_uri; content:"&lg="; http_uri; classtype:trojan-activity; sid:2013204; rev:1;)
138     
139     It is possible to force fwsnort to not ignore the http_* keywords with the
140     --strict command line argument.
141     
142     The number of signatures that this change picks up is trivial though for the
143     bundled signature set in the deps/snort_rules/ directory:
144     
145     Before:
146     
147     ./fwsnort --no-ipt-sync |grep Generated
148     [+] Generated iptables rules for 9341 out of 13131 signatures: 71.14%
149     
150     After:
151     
152     ./fwsnort --no-ipt-sync |grep Generated
153     [+] Generated iptables rules for 9343 out of 13131 signatures: 71.15%
154
155 commit 683dd21a337f19886851dba71ecc24ae381e331b
156 Author: Michael Rash <mbr@cipherdyne.org>
157 Date:   Sat Jul 16 22:50:30 2011 -0400
158
159     Updated to allow non-root users to execute fwsnort.
160     
161     This update allows non-root users to run fwsnort, but a modified fwsnort.conf
162     file must be supplied that changes various paths.  Running as a non-root user
163     is mostly only useful to see how fwsnort translates certain Snort rules.  Here
164     is an example of running fwsnort as a non-root user:
165     
166     $ ./fwsnort -c fwsnort.conf.nonroot --snort-sid 1234 |less
167     [+] Parsing Snort rules files...
168     [+] Found sid: 1234 in web-misc.rules
169         Successful translation.
170     
171     [+] Logfile: /home/mbr/git/fwsnort.git/fwsnort.log
172     [+] iptables script (individual commands): /home/mbr/git/fwsnort.git/fwsnort_iptcmds.sh
173     [*] Could not write to: /home/mbr/git/fwsnort.git/fwsnort.sh at ./fwsnort line 4418.
174     [mbr@minastirith ~/git/fwsnort.git]$ ./fwsnort -c fwsnort.conf.nonroot --snort-sid 1234 |less
175     [+] Parsing Snort rules files...
176     [+] Found sid: 1234 in web-misc.rules
177         Successful translation.
178     
179     [+] Logfile: /home/mbr/git/fwsnort.git/fwsnort.log
180     [+] iptables script (individual commands): /home/mbr/git/fwsnort.git/fwsnort_iptcmds.sh
181     
182         Main fwsnort iptables-save file: /home/mbr/git/fwsnort.git/fwsnort.save
183     
184         It does not appear as though you are running as root, so it is NOT
185         recommended that you become root and execute the fwsnort.sh script. The
186         reason is that non-root users cannot execute iptables, and therefore
187         fwsnort had no way to check for iptables capabilities or to parse any
188         existing iptables policy for proper splicing of the fwsnort rules.
189     
190         Exiting.
191
192 commit 24aa16d3ed2941143c787b9e449e61ce9857c0ab
193 Author: Michael Rash <mbr@cipherdyne.org>
194 Date:   Thu Jul 14 22:17:20 2011 -0400
195
196     Minor change to not write args in --help mode.
197     
198     Minor update to exclude 'fwsnort --help' from the saved command line arguments
199     copy.  This ensures that 'fwsnort --Last' does not just re-execute
200     'fwsnort --help'.
201
202 commit 7d1a5d684b4883b16040b20491fcbd5455410846
203 Author: Michael Rash <mbr@cipherdyne.org>
204 Date:   Sun Jul 10 14:37:30 2011 -0400
205
206     Added support for the Snort 'nocase' keyword
207     
208     The iptables string match extension supports case insensitive matches with
209     the --icase option.  This commit updates fwsnort to leverage --icase whenever
210     the 'nocase' modifier it applied to a pattern match in a Snort rule.
211
212 commit 593e0963fa2d117230cfee9b9a747e4cdeae3471
213 Author: Michael Rash <mbr@cipherdyne.org>
214 Date:   Sat Jul 9 23:59:15 2011 -0400
215
216     Updated to the latest Emerging Threats Snort rules
217     
218     Updated to the latest Emerging Threats Snort rules - this file contains over
219     10,000 rules now.  Here is some sample translation output stats with fwsnort:
220     
221     =-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
222         Snort Rules File          Success   Fail      Total
223     
224     [+] emerging-all.rules        7440      2582      10022
225                                   =============================
226                                   7440      2582      10022
227     
228     [+] Generated iptables rules for 7440 out of 10022 signatures: 74.24%
229
230 commit a3641f6cdad3f349f0ab79053267e7e0ffd376f6
231 Author: Michael Rash <mbr@cipherdyne.org>
232 Date:   Sat Jul 9 22:44:44 2011 -0400
233
234     Added iptables 'multiport' match support
235     
236     The iptables 'multiport' match is now supported, and this enables fwsnort to
237     properly translate a few Snort rules from the emerging threats rule set like
238     this one:
239     
240     alert tcp $HOME_NET [0:20,22:24,26:138,140:444,446:464,466:586,588:901,903:1432,1434:65535] -> any any (msg:"ET MALWARE Suspicious FTP 220 Banner on Local Port (spaced)"; flow:from_server,established; content:"220 "; depth:4; content:!"VMware Authentication Daemon"; depth:32; classtype:non-standard-protocol; reference:url,doc.emergingthreats.net/2011124; reference:url,www.emergingthreats.net/cgi-bin/cvsweb.cgi/sigs/MALWARE/MALWARE_Off_Port_FTP; sid:2011124; rev:12;)
241     
242     The translated version is now:
243     
244     $IPTABLES -A FWSNORT_FORWARD_ESTAB -p tcp -m tcp -m multiport --sports 0:20,22:24,26:138,140:444,446:464,466:586,588:901 -m string ! --string "VMware Authentication Daemon" --algo bm --to 96 -m string --string "220 " --algo bm --to 68 -m comment --comment "sid:2011124; msg:ET MALWARE Suspicious FTP 220 Banner on Local Port (spaced); classtype:non-standard-protocol; reference:url,doc.emergingthreats.net/2011124; rev:12; FWS:1.5;" -j LOG --log-ip-options --log-tcp-options --log-prefix "SID2011124 ESTAB "
245
246 commit 6aa673eed3344bd4d08f536b0ee246bc9c6c201b
247 Author: Michael Rash <mbr@cipherdyne.org>
248 Date:   Sat Jul 9 16:21:35 2011 -0400
249
250     Added --no-fast-pattern-order to --help output
251     
252     Added --no-fast-pattern-order to --help output and also added the
253     'fast_pattern' hash key to the 'ignore' bucket if --no-fast-pattern-order is
254     given on the command line.
255
256 commit d165a722e995eace732f5165ea4b7c1dd0469dd1
257 Author: Michael Rash <mbr@cipherdyne.org>
258 Date:   Sat Jul 9 16:07:53 2011 -0400
259
260     Implemented tighter 'within' criteria
261     
262     This commit fixes a problem where fwsnort was in some cases too lax with how it
263     calculated relative pattern matching depths that are defined via the Snort 'within'
264     keyword.  This should result in fewer fwsnort log messages for certain signatures.
265     An example signature that this change improves is:
266     
267     alert tcp $HOME_NET any -> $AIM_SERVERS any (msg:"CHAT AIM login"; flow:to_server,established; content:"*|02|"; depth:2; content:"|00 17 00 06|"; distance:4; within:8; classtype:policy-violation; sid:1631; rev:7;)
268     
269     fwsnort previous to this change translated this as a set of signatures including
270     the following (allowing for the multiple IP's in the $AIM_SERVERS variable):
271     
272     $IPTABLES -A FWSNORT_FORWARD_ESTAB -d 64.12.24.0/24 -p tcp -m tcp -m string --hex-string "*|02|" --algo bm --to 66 -m string --hex-string "|00170006|" --algo bm --from 70 --to 76 -m comment --comment "sid:1631; msg:CHAT AIM login; classtype:policy-violation; rev:7; FWS:1.5;" -j LOG --log-ip-options --log-tcp-options --log-prefix "SID1631 ESTAB "
273     
274     After this change the signature becomes:
275     
276     $IPTABLES -A FWSNORT_FORWARD_ESTAB -d 64.12.24.0/24 -p tcp -m tcp -m string --hex-string "*|02|" --algo bm --to 66 -m string --hex-string "|00170006|" --algo bm --from 70 --to 74 -m comment --comment "sid:1631; msg:CHAT AIM login; classtype:policy-violation; rev:7; FWS:1.5;" -j LOG --log-ip-options --log-tcp-options --log-prefix "SID1631 ESTAB "
277     
278     Note that in the second pattern match the --to criteria has been reduced from
279     76 to 74.  (The second rule was generated with --no-fast-pattern-ordering to
280     make the diff make sense more easily.)
281
282 commit 49acb36d0ea8425ebaedd03f9f41140781b56ca0
283 Author: Michael Rash <mbr@cipherdyne.org>
284 Date:   Sat Jul 9 12:00:23 2011 -0400
285
286     Added the --no-fast-pattern-ordering argument
287     
288     Added --no-fast-pattern-ordering to have fwsnort not try to reorder pattern
289     matches to process the longest pattern first.  This option also instructs
290     fwsnort to ignore the Snort 'fast_pattern' keyword in any Snort rule.
291
292 commit e35727256975e86135038fef093393e777f32210
293 Author: Michael Rash <mbr@cipherdyne.org>
294 Date:   Sat Jul 9 11:47:19 2011 -0400
295
296     Moved GetOpt() call to handle_cmd_line()
297     
298     Minor updated to move the GetOpt() function call for parsing command line args
299     to the handle_cmd_line() function (where it should have been for a while).
300
301 commit 4d65f91f4439831f2ebff6ea3430de079eef7201
302 Author: Michael Rash <mbr@cipherdyne.org>
303 Date:   Fri Jul 8 22:50:13 2011 -0400
304
305     minor man page wording update
306
307 commit b27412de270377b51325fbbd43b5d18ed87a8183
308 Author: Michael Rash <mbr@cipherdyne.org>
309 Date:   Fri Jul 8 22:47:05 2011 -0400
310
311     Fixed fast_pattern support for relative matches
312     
313     This is a significant code refactoring in order to support the fast_pattern
314     keyword when relative matches are involved.  Previous to this change, the
315     initial fast_pattern implementation would not take into account how the
316     iptables --from and --to keywords should be set under the 'distance' and
317     'within' keywords.
318
319 commit d7c2ceb906f120cb55df41d2fe277d0f17f1e5f6
320 Author: Michael Rash <mbr@cipherdyne.org>
321 Date:   Tue Jul 5 23:14:19 2011 -0400
322
323     Added 'detection_filter' to not supported list
324     
325     The newer 'detection_filter' Snort keyword (a replacement for the older
326     'threshold' keyword) is not supported yet.  The iptables limit match should
327     be able to help here eventually.
328
329 commit 1e024f14f34453eb992fa9370dd4f04b02374074
330 Author: Michael Rash <mbr@cipherdyne.org>
331 Date:   Tue Jul 5 22:46:34 2011 -0400
332
333     minor comment wording update for TCP options
334
335 commit 81a6a2b8896d8f7e62e4160004809ad8fd9e245b
336 Author: Michael Rash <mbr@cipherdyne.org>
337 Date:   Tue Jul 5 06:47:25 2011 -0400
338
339     Added content match ordering based on length
340     
341     In cases where the 'fast_pattern' option is not used, Snort generally tries to
342     pick the longest pattern to match first since this should usually result in
343     better performance.  That is, longer there is a higher chance for a longer
344     string to be more unique, and this would result in shorter strings from not
345     being searched for.  This works in the context of iptables because 'matches'
346     are AND'd togther, so if the first string match fails, no subsequent string
347     matches will be executed.  Hence, the search for "shortstr" below would not
348     happen if the search for "thisisalongstring" failed:
349     
350     -m string --string 'thisisalongstring' --algo bm -m string --string 'shortstr' --algo bm
351     
352     One thing to note is that iptables does not support relative string matches
353     in the same way that Snort does.  The iptables string match can specify an
354     offset and depth into the packet via --from and --to.  The end result is that
355     the fwsnort way of maximizing performance is to find the longest string, do
356     the match, and apply an approximation for --from and --to whenever they are
357     required for any pattern.  That is, it doesn't have to worry about relative
358     matches and finding the end of a pattern in order to know where to start the
359     next search.  Now, this will result in signature matching in fwsnort not
360     being as accurate as Snort (remember that fwsnort emulates Snort behavior as
361     closely as possible given functionality implemented in iptables), but it
362     should be faster.
363
364 commit f1a68b5e3a02f593030ac07fc89546e1426e8a83
365 Merge: 439f739 509b3d9
366 Author: Michael Rash <mbr@cipherdyne.org>
367 Date:   Mon Jul 4 22:19:53 2011 -0400
368
369     Merge branch 'master' of github.com:mrash/fwsnort
370
371 commit 439f739bcf268a6e94720dabc31b00dd72ebb566
372 Author: Michael Rash <mbr@cipherdyne.org>
373 Date:   Mon Jul 4 21:57:14 2011 -0400
374
375     Added 'fast_pattern' support + no patterns bug fix
376     
377     Added support for the Snort 'fast_pattern' keyword which is used to force a
378     particular payload match to be done first.  This allows the signature author
379     to optimize the performance of certain signatures based on a knowledge of
380     how likely certain strings are to match within application layer protocols.
381     A gooo write up of the 'fast_pattern' keyword was posted to the VRT blog
382     here:
383     
384     http://vrt-blog.snort.org/2010/04/using-snort-fast-patterns-wisely-for.html
385     
386     Also fixed a bug that would exclude all signatures that do not have at least
387     one content match.  A good example of such a signature is this one:
388     
389     alert tcp $EXTERNAL_NET 6112 -> $HOME_NET any (msg:"ET GAMES Battle.net
390     connection reset (possible IP-Ban)"; flags:R,12; classtype: policy-violation;
391     reference:url,doc.emergingthreats.net/bin/view/Main/2002117;
392     reference:url,www.emergingthreats.net/cgi-bin/cvsweb.cgi/sigs/GAMES/GAMES_Battlenet;
393     sid:2002117; rev:6;)
394     
395     Between this bug fix and the 'fast_pattern' support, fwsnort is able to
396     translated nearly 300 additional signatures beyond the fwsnort-1.5 release:
397     
398     [+] Generated iptables rules for 8529 out of 12224 signatures: 69.77%
399     
400     [+] Generated iptables rules for 8812 out of 12224 signatures: 72.09%
401
402 commit 509b3d97f0a277c0ef84b7c737f991e1685610a6
403 Author: Michael Rash <mbr@cipherdyne.org>
404 Date:   Mon Jul 4 21:57:14 2011 -0400
405
406     Added support for Snort keyword 'fast_pattern'
407     
408     Added support for the Snort 'fast_pattern' keyword which is used to force a
409     particular payload match to be done first.  This allows the signature author
410     to optimize the performance of certain signatures based on a knowledge of
411     how likely certain strings are to match within application layer protocols.
412     A gooo write up of the 'fast_pattern' keyword was posted to the VRT blog
413     here:
414     
415     http://vrt-blog.snort.org/2010/04/using-snort-fast-patterns-wisely-for.html
416
417 commit 79a88abbf186c2eefbdf0d7ebeef3493ecf80fbe
418 Author: Michael Rash <mbr@cipherdyne.org>
419 Date:   Thu Jun 30 20:52:22 2011 -0400
420
421     minor man page wording update
422
423 commit a8663fdb1779b17dcd136c319a883c8cada839e5
424 Author: Michael Rash <mbr@cipherdyne.org>
425 Date:   Thu Jun 30 20:50:30 2011 -0400
426
427     Added three Snort signature keywords
428     
429     Added the 'detection_filter', 'threshold', and 'urilen' Snort rule keywords.
430     Also included a minor update to calculate max keyword length on the fly.
431
432 commit ddedf5d8447f1a5d819308471e98a0cdf527acd2
433 Author: Michael Rash <mbr@cipherdyne.org>
434 Date:   Wed Jun 29 20:23:38 2011 -0400
435
436     Added newer Snort keywords to snort_opts.pl
437     
438     Added Snort keywords fast_pattern, http_header, http_uri, and http_method
439     to the snort_opts.pl script.
440
441 commit cfcb1ea40313e2176afd67ada576748e38f7c10b
442 Author: Michael Rash <mbr@cipherdyne.org>
443 Date:   Mon Jun 27 22:39:57 2011 -0400
444
445     minor ChangeLog update
446
447 commit bc184f2edfc11bb9e4beeab73d8ec5f2413faf77
448 Author: Michael Rash <mbr@cipherdyne.org>
449 Date:   Mon Jun 27 21:41:19 2011 -0400
450
451     Bugfix for --ipt-apply to exec fwsnort.sh
452     
453     Fixed the --ipt-apply functionality - the variable that held the fwsnort.sh
454     path was not initialized properly prior to this change.
455
456 commit 00c4379a69975097948ed9e5ba356eeba69c0c93
457 Author: Michael Rash <mbr@cipherdyne.org>
458 Date:   Mon Jun 20 21:00:57 2011 -0400
459
460     Added the --Conntrack-state argument
461     
462     Added the --Conntrack-state argument to specify a conntrack state in place of
463     the "established" state that commonly accompanies the Snort "flow" keyword.
464     By default, fwsnort uses the conntrack state of "ESTABLISHED" for this.  In
465     certain corner cases, it might be useful to use "ESTABLISHED,RELATED" instead
466     to apply application layer inspection to things like ICMP port unreachable
467     messages that are responses to real attempted communications.  (Need to add
468     UDP tracking for the _ESTAB chains for this too - coming soon.)
469
470 commit 84f12e1f048ff94ceab7e6ed3aa596864eefe763
471 Author: Michael Rash <mbr@cipherdyne.org>
472 Date:   Mon Jun 20 20:09:06 2011 -0400
473
474     Added test for conntrack --ctstate
475     
476     Recent releases of iptables and the Linux kernel support matching
477     on connection state via the conntrack modules and the --ctstate
478     switch.  Added a capabilities test for this, and will fall back to
479     using the state match if the conntrack module is not available.
480
481 commit 7645c3977e65471f5c9ba730a300b04f73901786
482 Author: Michael Rash <mbr@cipherdyne.org>
483 Date:   Sun Jun 19 11:58:05 2011 -0400
484
485     Bugfix for --ipt-list and --ipt-flush
486     
487     Fixed a problem with --ipt-list and --ipt-flush to ensure that the proper
488     iptables binary path is chosen.  These args failed without this because the
489     iptables binary was not set.
490
491 commit 304f5c6e44668a89ec91924a8e32799cf4ee3736
492 Author: Michael Rash <mbr@cipherdyne.org>
493 Date:   Sun Jun 19 11:14:44 2011 -0400
494
495     Bugfix for --log-prefix maximum lengths
496     
497     Bugfix to ensure the iptables log prefixes built by fwsnort are not
498     longer than those allowed by the running iptables firewall.  This is
499     usually a total of 29 characters, but fwsnort now dynamically figures out
500     this value.
501     
502     This bug was originally reported by Yves Pagani to the fwsnort mailing
503     list.
504
505 commit 3b45f07288edfd7988c0b953bf33c02374b5c09b
506 Author: Michael Rash <mbr@cipherdyne.org>
507 Date:   Sat Jun 18 22:40:56 2011 -0400
508
509     Removed old reference to $rev_num
510     
511     In keeping with svn, fwsnort used to store the $Id$ file ID into $rev_num. This
512     has been removed.
513
514 commit 2081d991865b347e6bf123e8d94076b1ebb7eb31
515 Author: Michael Rash <mbr@cipherdyne.org>
516 Date:   Sat Jun 18 21:09:12 2011 -0400
517
518     Removed legacy $Id$ tags (for old svn repos)
519     
520     $Id$ tags don't really mean anything to git so they have been removed from all
521     source files.