minor version string fix
[fwsnort.git] / ChangeLog
1 fwsnort-1.6.3 (12/21/2012):
2     - Bug fix to ensure that !, <, >, and = chars in content strings are
3       converted to the appropriate hex equivalents.  All content strings with
4       characters outside of [A-Za-z0-9] are now converted to hex-string format
5       in their entirety.  This should also fix an issue that results in the
6       following error when running /var/lib/fwsnort/fwsnort.sh:
7
8         Using intrapositioned negation (`--option ! this`) is deprecated in
9         favor of extrapositioned (`! --option this`).
10         Bad argument `bm'
11         Error occurred at line: 64
12         Try `iptables-restore -h' or 'iptables-restore --help' for more
13         information.
14             Done.
15
16     - Bug fix to set default max string length in --no-ipt-test mode where
17       iptables capabilities are not tested.
18     - (Andrew Merenbach) Bug fix to properly honor --exclude-regex filtering
19       option.
20     - Added fwsnort test suite to the test/ directory.  This mimics the test
21       suites from the psad and fwknop projects, and it designed to examine
22       many of the run time results of fwsnort.
23     - Added the ability to easily revert the fwsnort policy back to the
24       original iptables policy with "/var/lib/fwsnort/fwsnort.sh -r".  Note
25       that this reverts back to the policy as it was when fwsnort itself was
26       executed.
27     - Implemented a single unified function for iptables match parameter
28       length testing, and optimized to drastically reduce run time for iptables
29       capabilities checks (going from over 20 seconds to less than one second
30       in some cases).
31     - (Dwight Davis) Contributed patches for several bugs including not
32       handling --exclude-regex properly, not ignoring the deleted.rules file,
33       not handling --strict mode opertions correctly, and more.  These issues
34       and the corresponding patch were originally reported here:
35         http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=693000
36     - Bug fix for Snort rules with HOME_NET(any) -> EXTERNAL_NET(any) to
37       ensure they go into the OUTPUT chain instead of the INPUT chain.  This
38       bug was reported by Dwight Davis.
39     - Updated to bundle the latest Emerging Threats rule set.
40
41 fwsnort-1.6.2 (04/28/2012):
42     - Switched --no-ipt-sync to default to not syncing with the iptables policy.
43       By default fwsnort attempts to match translated Snort rules to the
44       running iptables policy, but this is tough to do well because iptables
45       policies can be complex.  And, before fwsnort switched to the
46       iptables-save format for instantiating the policy, a large set of
47       translated rules could take a really long time to make active within the
48       kernel.  Finally, many Snort rules restrict themselves to established TCP
49       connections anyway, and if a restrictive policy doesn't allow connections
50       to get into the established state for some port let's say, then there is
51       little harm in having translated Snort rules for this port.  Some kernel
52       memory would be wasted (small), but no performance would be lost since
53       packets won't be processed against these rules anyway.  The end result is
54       that the default behavior is now to not sync with the local iptables
55       policy in favor of translating and instantiating as many rules as
56       possible.
57     - Replaced Net::IPv4Addr with the excellent NetAddr::IP module which has
58       comprehensive support for IPv6 address network parsing and comparisons.
59     - Moved the fwsnort.sh script and associated files into the
60       /var/lib/fwsnort/ directory.  This was suggested by Peter Vrabec.
61     - Bug fix for recent versions of iptables (such as 1.4.12) where the icmp
62       match requires --icmp-type to be set - some Snort rules look for a string
63       to match in icmp traffic, but don't also specify an icmp type.
64     - Bug fix for 'qw(...) usage as parenthesis' warnings for perl > 5.14
65     - Removed the ExtUtils::MakeMaker RPM build requirement from the
66       fwsnort.spec file.  This is a compromise which will allow the fwsnort RPM
67       to be built even if RPM dosen't or can't see that ExtUtils::MakeMaker is
68       installed - most likely it will build anyway.  If it doesn't, there are
69       bigger problems since fwsnort is written in perl.  If you want to build
70       the fwsnort RPM with a .spec file that requires ExtUtils::MakeMaker, then
71       use the "fwsnort-require-makemaker.spec" file that is bundled in the
72       fwsnort sources.
73
74 fwsnort-1.6.1 (11/01/2011):
75     - (Kim Hagen) submitted a patch for a bug in fwsnort-1.6 where the fwsnort
76       policy in iptables-save format could not be loaded whenever iptables-save
77       put the nat table output after the filter table output.  In this case,
78       fwsnort would fail with an error like the following:
79
80         Couldn't load target
81         `FWSNORT_FORWARD_ESTAB':/lib/xtables/libipt_FWSNORT_FORWARD_ESTAB.so:
82         cannot open shared object file: No such file or directory
83
84       fwsnort now invokes 'iptables-save -t filter' in order to ensure that
85       ordering issues do not affect how fwsnort builds its translated rule set.
86     - Bug fix to ensure that fwsnort does not attempt to re-order pattern
87       matches for patterns that have a relative match requirement.  For non-
88       relative matches fwsnort re-orders pattern matches based on the pattern
89       length, reasoning that the longest pattern should be processed first for
90       better performance.  The usage of the fast_pattern keyword give the user
91       explicit control over this.  Here is a Snort rule that is now properly
92       handled by fwsnort (references removed):
93
94        alert tcp $EXTERNAL_NET $HTTP_PORTS -> $HOME_NET any (msg:"ET WEB_CLIENT
95        Possible Adobe Reader and Acrobat Forms Data Format Remote Security
96        Bypass Attempt"; flow:established,to_client; file_data; content:"%FDF-";
97        depth:300; content:"/F(JavaScript|3a|"; nocase; distance:0;
98        classtype:attempted-user; sid:2010664; rev:8;)
99
100       Before this change, fwsnort translated this rule as:
101
102       $IPTABLES -A FWSNORT_FORWARD_ESTAB -p tcp -m tcp --sport 80 -m string
103       --hex-string "/F(JavaScript|3a|" --algo bm --from 69 --icase -m string
104       --hex-string "%FDF|2d|" --algo bm --to 364 -m comment --comment
105       "sid:2010664; msg:ET WEB_CLIENT Possible Adobe Reader and Acrobat Forms
106       Data Format Remote Security Bypass Attempt; classtype:attempted-user;
107       rev:8; FWS:1.6;" -j LOG --log-ip-options --log-tcp-options --log-prefix
108       "SID2010664 ESTAB "
109
110       Note that in the above rule, the "/F(JavaScript|3a|" pattern was switched
111       to be evaluated first even though it is a relative match to the previous
112       pattern in the original Snort rule.  After this change, fwsnort translates
113       this rule as:
114
115       $IPTABLES -A FWSNORT_FORWARD_ESTAB -p tcp -m tcp --sport 80 -m string
116       --hex-string "%FDF|2d|" --algo bm --to 364 -m string --hex-string
117       "/F(JavaScript|3a|" --algo bm --from 69 --icase -m comment --comment
118       "sid:2010664; msg:ET WEB_CLIENT Possible Adobe Reader and Acrobat Forms
119       Data Format Remote Security Bypass Attempt; classtype:attempted-user;
120       rev:8; FWS:1.6;" -j LOG --log-ip-options --log-tcp-options --log-prefix
121       "SID2010664 ESTAB "
122
123     - Updated to the latest Emerging Threats rule set.
124
125 fwsnort-1.6 (07/28/2011):
126     - Fixed the --ipt-apply functionality - the variable that held the
127       fwsnort.sh path was not initialized properly prior to this change.
128     - Added the --Conntrack-state argument to specify a conntrack state
129       in place of the "established" state that commonly accompanies the Snort
130       "flow" keyword.  By default, fwsnort uses the conntrack state of
131       "ESTABLISHED" for this.  In certain corner cases, it might be useful to
132       use "ESTABLISHED,RELATED" instead to apply application layer inspection
133       to things like ICMP port unreachable messages that are responses to real
134       attempted communications.  (Need to add UDP tracking for the _ESTAB
135       chains for this too - coming soon.)
136     - Recent releases of iptables and the Linux kernel support matching on
137       connection state via the conntrack modules and the --ctstate switch.
138       Added a capabilities test for this, and will fall back to using the state
139       match if the conntrack module is not available.
140     - Bugfix to ensure the iptables log prefixes built by fwsnort are not
141       longer than those allowed by the running iptables firewall.  This is
142       usually a total of 29 characters, but fwsnort now dynamically figures out
143       this value.
144     - Bugfix for --ipt-list and --ipt-flush to ensure that the proper iptables
145       binary path is chosen.  These args failed without this because the
146       iptables binary was not set.
147
148 fwsnort-1.5 (01/08/2011):
149     - Major update to use the iptables-save format instead of the older
150       strategy of always just executing iptables commands directly (which was
151       very flow for large fwsnort policies).  The /etc/fwsnort/fwsnort.sh
152       script now just executes:
153
154         /sbin/iptables-restore < /etc/fwsnort/fwsnort.save
155
156       All fwsnort rules are now placed in the /etc/fwsnort/fwsnort.save file,
157       but the older fwsnort.sh output (for the individual commands version)
158       is still available at /etc/fwsnort/fwsnort_iptcmds.sh.  This
159       functionality extends to ip6tables policies as well.  The fwsnort man
160       page explain this in better detail:
161
162       "As of fwsnort-1.5 all iptables rules built by fwsnort are written out
163       to the /etc/fwsnort/fwsnort.save file in iptables-save format.  This
164       allows a long fwsnort policy (which may contain thousands of iptables
165       rules translated from a large Snort signature set) to be quickly
166       instantiated via the "iptables-restore" command.  A wrapper script
167       /etc/fwsnort/fwsnort.sh is also written out to make this easy.  Hence,
168       the typical work flow for fwsnort is to: 1) run fwsnort, 2) note the
169       Snort rules that fwsnort was able to successfully translate (the number
170       of such rules is printed to stdout), and then 3) execute the
171       /etc/fwsnort/fwsnort.sh wrapper script to instantiate the policy in the
172       running kernel."
173
174     - Added the --rules-url argument so that the URL for updating the
175       Emerging Threats rule set can be specified from the command line.  The
176       default is:
177
178         http://rules.emergingthreats.net/open/snort-2.9.0/emerging-all.rules
179
180     - Updated to automatically check for the maximum length string that the
181       string match supports, and this is used to through out any Snort rules
182       with content matches longer than this length.
183     - Updated the iptables capabilities testing routines to add and delete
184       testing rules to/from the custom chain 'FWS_CAP_TEST'.  This maintains a
185       a cleaner separation between fwsnort and any existing iptables policy
186       even during the capabilities testing phase.
187     - Added the --ipt-check-capabilities argument to have fwsnort test the
188       capabilities of the local iptables firewall and exit.
189     - Added the --string-match-alg argument to allow the string matching
190       algorithm used by fwsnort to be specified from the command line.  The
191       default algorithm is 'bm' for 'Boyer-Moore', but 'kmp' may also be
192       specified (short for the 'Knuth–Morris–Pratt' algorithm).
193     - Updated to the latest complete rule set from Emerging Threats (see
194       http://www.emergingthreats.net/).
195
196 fwsnort-1.1 (01/05/2010):
197     - Added the ability to build an fwsnort policy that utilizes ip6tables
198       instead of iptables.  This allows fwsnort filtering and altering
199       capabilities to apply to IPv6 traffic instead of just IPv4 traffic.  To
200       enable ip6tables usage, use the "-6" or "--ip6tables" command line
201       arguments.
202     - Added the --include-perl-triggers command line argument so that
203       translated Snort rules can easily be tested.  This argument instructs
204       fwsnort to include 'perl -e print ... ' commands as comments in the
205       /etc/fwsnort/fwsnort.sh script, and these commands can be combined
206       with netcat to send payloads across the wire that match Snort rules.
207     - Updated fwsnort to create logs in the /var/log/fwsnort/ directory
208       instead of directly in the /var/log/ directory.  The path is controlled
209       by a new variable 'LOG_FILE' in the /etc/fwsnort/fwsnort.conf file.
210     - Added several variables in /etc/fwsnort/fwsnort.conf to control paths
211       to everything from the config file to the snort rules path.  Coupled
212       with this is the ability to create variables within path components and
213       fwsnort will expand them (e.g. 'CONF_DIR /etc/fwsnort;
214       CONF_FILE $CONF_DIR/fwsnort.conf').
215     - Added --Last-cmd arg so that it is easy to rebuild the fwsnort.sh script
216       with the same command line args as the previous execution.
217
218 fwsnort-1.0.6 (05/30/2009):
219     - (Franck Joncourt) Updated fwsnort to use the "! <option> <arg>" syntax
220       instead of the older "<option> ! <arg>" for the iptables command line.
221     - (Franck Joncourt) For the --hex-string and --string matches, if the
222       argument exceeds 128 bytes (iptables 1.4.2) then iptables fails with an
223       error "iptables v1.4.2: STRING too long".  Fixes this with a patch that
224       adds a new variable in fwsnort.conf "MAX_STRING_LEN", so that the size of
225       the content can be limited. If the content (null terminated string) is
226       more than MAX_STRING_LEN chars, fwsnort throws the rule away.
227     - Bug fix to allow fwsnort to properly translate snort rules that have
228       "content" fields with embedded escaped semicolons (e.g. "\;").  This
229       allows fwsnort to translate about 58 additional rules from the Emerging
230       Threats rule set.
231     - Bug fix to allow case insensitive matches to work properly with the
232       --include-re-caseless and --exclude-re-caseless arguments.
233     - Bug fix to move the 'rawbytes' keyword to the list of keywords that are
234       ignored since iptables does a raw match anyway as it doesn't run any
235       preprocessors in the Snort sense.
236     - Added the --snort-rfile argument so that a specific Snort rules file (or
237       list of files separated by commas) is parsed.
238     - Added a small hack to choose the first port from a port list until the
239       iptables 'multiport' match is supported.
240     - Updated to consolidate spaces in hex matches in the fwsnort.sh script
241       since the spaces are not part of patterns to be searched anyway.
242     - Updated to the latest complete rule set from Emerging Threats (see
243       http://www.emergingthreats.net/).
244     - Added the "fwsnort-nobuildreqs.spec" file for building fwsnort on
245       systems (such as Debian) that do not install/upgrade software via RPM.
246       This file omits the "BuildRequires: perl-ExtUtils-MakeMaker" directive,
247       and this fixes errors like the following on an Ubuntu system when
248       building fwsnort with rpmbuild:
249
250       rpm: To install rpm packages on Debian systems, use alien. See README.Debian.
251       error: cannot open Packages index using db3 - No such file or directory (2)
252       error: cannot open Packages database in /var/lib/rpm
253
254 fwsnort-1.0.5 (08/21/2008):
255     - Replaced the bleeding-all.rules file with the emerging-all.rules file.
256       This is because Matt Jonkman now releases his rule sets at
257       http://www.emergingthreats.net/
258     - Restructured perl module paths to make it easy to introduce a "nodeps"
259       distribution of fwsnort that does not contain any perl modules.  This
260       allows better integration with systems that already have all necessary
261       modules installed (including the IPTables::ChainMgr and IPTables::Parse
262       modules).  The main driver for this work is to make all cipherdyne.org
263       projects easily integrated with distributions based on Debian, and
264       Franck Joncourt has been instrumental in making this process a reality.
265       All perl modules are now placed within the "deps" directory, and the
266       install.pl script checks to see if this directory exists - a separate
267       fwsnort-nodeps-<ver> tarball will be distributed without this directory.
268       The Debian package for fwsnort can then reference the -nodeps tarball,
269       and a new "fwsnort-nodeps.spec" file has been added to build an RPM from
270       the fwsnort sources that does not install any perl modules.
271     - Updated to import perl modules from /usr/lib/fwsnort, but only if this
272       path actually exists in the filesystem.  This is similar to the strategy
273       implemented by psad.  A new variable FWSNORT_LIBS_DIR was added to the
274       fwsnort.conf to support this.
275     - Added support for multiple Snort rule directories as a comma-separated
276       list for the argument to --snort-rdir.
277     - Moved 'threshold' to the unsupported list since there will be several
278       signatures that use this feature to detect the Dan Kaminsky DNS attack,
279       and fwsnort does not yet support the usage of the iptables --limit
280       match.
281
282 fwsnort-1.0.4 (01/22/2008):
283     - (Grant Ferley) Submitted patch to exclude loopback interfaces from
284       iptables allow rules parsing.  This behavior can be reversed with the
285       existing --no-exclude-loopback command line argument.
286     - (Grant Ferley) Submitted patch to IPTables::Parse to take into account
287       iptables policy output that contains "0" instead of "all" to represent
288       any protocol.
289     - (Grant Ferley) Submitted patch to IPTables::Parse to set sport and dport
290       to '0:0' if the protocol is 'all'.
291     - Bugfix to allow negated networks to be specified within iptables allow
292       rules or within the fwsnort.conf file.
293     - Updated install.pl to set the LC_ALL environmental variable to "C". This
294       should fix potential locale problems (this fix was borrowed from the
295       fwknop project).
296
297 fwsnort-1.0.3 (11/22/2007):
298     - Added --include-re-caseless and --exclude-re-caseless options to have
299       --include-regex and --exclude-regex options match case insensitively.
300     - Major signature update from Bleeding Threats. This update includes a
301       large number of new signatures with PCRE statements, with an emphasis on
302       detecting SQL injection attacks directed at internal webservers from
303       external sources.
304     - Added the ability to interpret PCRE statements that include simple
305       string matches separated by ".*" and ".+" as multiple iptables string
306       matches. The only negative consequence in terms of signature detection
307       is that ordering is not preserved; that is, the PCRE "/UNION.+SELECT/"
308       would only match a packet that contains "UNION" followed by "SELECT",
309       whereas an iptables rule that uses a string match for UNION and a
310       separate string match for SELECT would match a packet that contains both
311       strings but in reverse. Typically this is not a huge concern, and the
312       PCRE translation can be disabled with a new option --no-pcre.
313     - Added asn1 keyword to unsupported list.
314
315 fwsnort-1.0.2 (08/26/2007):
316     - Bugfix to make sure to add in header lengths for depth and offset values
317       since the string match extension compares bytes from the start of the
318       data link header.
319
320 fwsnort-1.0.1 (08/26/2007):
321     - Bugfix for ipt_rule_test() function name.
322     - Added the ability to automatically resolve command paths if any commands
323       cannot be found at the locations specified in the fwsnort.conf file.
324
325 fwsnort-1.0 (04/19/2007):
326     - Major update to include support for the NFQUEUE and QUEUE targets with
327       new command line options --NFQUEUE and --QUEUE.  This changes the
328       default LOG target to the NFQUEUE or QUEUE targets instead, and at the
329       same time builds a parallel Snort rule set in the
330       /etc/fwsnort/snort_rules_queue directory.  Every Snort rule in this
331       directory has at least one "content" keyword, which fwsnort uses in the
332       resulting iptables policy.  This policy only sends those packets to
333       snort_inline via the NFQUEUE or QUEUE target that match a content field
334       within some Snort rule.  The end result is that snort_inline should run
335       faster because the vast majority of packets (which are not malicious)
336       are processed via the Linux kernel without ever having to be sent to
337       userspace for analysis.  There is a tradeoff here in terms of attack
338       detection; snort_inline does not receive all packets associated with a
339       stream, so it cannot detect attacks quite as effectively (snort_inline
340       does not have an opportunity to look at reassembled buffers).  However,
341       this trade off may be acceptable for large sites where performance is
342       more important.
343     - Bug fix to remove any existing jump rules from the built-in INPUT,
344       OUTPUT, and FORWARD chains before creating a new jump rules.  This
345       allows the fwsnort.sh script to be executed multiple times without
346       creating a new jump rule into the fwsnort chains for each execution.
347     - Added the -X command line argument to allow fwsnort to delete all of
348       the fwsnort chains; this emulates the iptables command line argument
349       of the same name.
350     - Minor output enhancements and bugfixes to give more insight into the
351       translation process.  For example, if fwsnort is run in --snort-sid
352       mode but is unable to translate the specified signatures, the user is
353       notified.  Also, any existing /etc/fwsnort/fwsnort.sh script is not
354       archived and erased until fwsnort is actually going to write a new one.
355     - Added sid values to iptables comment match string.
356     - Bugfix for iptables string match --from and --to values to skip past
357       packet headers.  This is an approximation until a new --payload option
358       can be added to the string match extension.
359     - Added a single iptables rule testing API internally within fwsnort;
360       this adds a measure of consistency and removes some duplicate code.
361     - Added fwsnort mailing list at SourceForge.
362
363 fwsnort-0.9.0 (03/22/2007):
364     - Added support for multiple content matches since this is supported by
365       iptables.  This made a 10% increase in the fwsnort translation rate -
366       about 60% of all Snort-2.3.3 rules can be translated now.
367     - Added emulation for distance and within from previous content match
368       based on --from and --to (string match extension) and the length of
369       the previous pattern.
370     - Added the ability to include the Snort "msg", "classtype", "reference",
371       "priority", and "rev" fields in each iptables rule with the comment
372       match.  This can be disabled with a new command line argument
373       --no-ipt-comments.  The fwsnort version is also included within this
374       string.
375     - Added the ability to include the iptables rule number for each rule in
376       the fwsnort chains.  This is useful to easily know which iptables rule
377       is being triggered by network traffic (so it can be disabled if
378       necessary).  This can be disabled with --no-ipt-rule-nums.
379     - Added the --include-regex and --exclude-regex command line arguments.
380       These arguments allow rules to be included/excluded based on a regular
381       expression supplied on the command line.
382     - Updated to include the original Snort rule as a comment within the
383       fwsnort.sh script without having to use --verbose.
384     - Bugfix to force install of IPTables::Parse since it had been updated in
385       the fwsnort-0.8.2 release.
386     - Changed the IGNORE_ADDR variable to WHITELIST since this name better
387       describes the actual function of this var.  Updated to allow multiple
388       WHITELIST lines.
389     - Added the BLACKLIST variable to allow a true blacklist to be
390       instantiated with either the DROP or REJECT targets.  The syntax for the
391       BLACKLIST variable is "BLACKLIST  <ip or network>  <target>", where
392       "target" is either "DROP" or "REJECT".
393     - Added -F and -L command line arguments to flush and list iptables rules.
394       This is similar to the iptables command line args of the same names.
395     - Bugfix to ensure that traffic directed into the INPUT or coming from the
396       OUTPUT chains is treated as going toward or originating from the
397       HOME_NET.  After all the HOME_NET variable may contain an internal
398       network but omit the IP assigned to an external interface on the
399       firewall.
400     - Added "--log-ip-options" and "--log-tcp-options" to fwsnort LOG rules by
401       default (in the generated fwsnort.sh script).  This can be disabled with
402       --no-log-ip-opts and --no-log-tcp-opts arguments on the fwsnort command
403       line.
404     - Added the ability to include --log-tcp-sequence to LOG rules in
405       fwsnort.sh with a new argument --ipt-log-tcp-seq on the fwsnort command
406       line.
407     - Updated to handle negative string matches with "--string ! <string>".
408     - Updated to output all unsupported options of the /var/log/fwsnort.log
409       file to assist in the development of addition keyword emulation.
410
411 fwsnort-0.8.2 (02/17/2007):
412     - Updated to newer IPTables::Parse module that uses the array of hash
413       references method of returning iptables policy data.
414     - Added --Dump-ipt and --Dump-snort rules to allow iptables policy and
415       Snort rules to be dumped to STDOUT.
416     - Added bleeding-all.rules file from http://www.bleedingsnort.com/
417     - Added patches/bm_goodshift_fix.patch patch file that fixes an
418       initialization bug in the Boyer-Moore text search implementation in the
419       kernel (linux-2.6.x/lib/ts_bm.c) which caused slightly repetitive
420       patterns to only match at specific offsets with the string match
421       extension.
422     - Bugfix to ensure that a depth cannot be less that an offset (these
423       translate to the --to and --from command line arguments to iptables).
424     - Bugfix to escape '$' chars in iptables search strings.
425     - Added cd_rpmbuilder to make it easy to automatically build RPM files of
426       fwsnort.
427     - Added support for the iptables OUTPUT chain.
428     - Added the ChangeLog.svn file so that all of the changed files and
429       corresponding svn commit messages can be viewed (this file is built from
430       release to release).
431
432 fwsnort-0.8.1 (11/11/2005):
433     - Updated to use the string match extension "--algo bm" argument if
434       fwsnort is being run on a 2.6.14 (or greater) kernel.
435     - Updated to handle the Snort "offset" and "depth" keywords via the
436       --from and --to options to the string match extension in the 2.6.14
437       kernel.
438     - Created RPM package of fwsnort.
439     - Minor man page updates.
440
441 fwsnort-0.8.0 (07/11/2005):
442     - Completely re-structured fwsnort w.r.t. how it creates Netfilter
443       chains.  There are no longer any per-interface chains (this
444       greatly simplifies the Netfilter chains).
445     - Added three new chains "FWSNORT_INPUT_ESTAB", "FWSNORT_OUTPUT_ESTAB"
446       and "FWSNORT_FORWARD_ESTAB" to which tcp connections in the
447       ESTABLISHED state are jumped.  This allows fwsnort to use the
448       Netfilter tcp connection tracking mechanism to ignore Stick and Snot
449       style attacks (similar to the flow:established Snort rule option).
450     - Added true variable resolution (i.e. HTTP_SERVERS -> HOME_NET -> any)
451       for the Snort rule header.  This directly emulates the behavior of
452       the Snort IDS.
453     - Added IP protocol support in the translation of the Snort rule
454       header.  The Snort rule translation rate is now at about 53% for
455       Snort-2.3.
456     - Bugfix for ipopts Snort option (several arguments are not supported
457       by the ipv4options extension).
458     - Better tests for Netfiler TTL, TOS, and ipv4options matches.
459     - Replaced IGNORE_IP and IGNORE_NET keywords with single IGNORE_ADDR
460       keywork in fwsnort.conf.
461     - Updated to correctly handle ICMP type and code rules (itype and
462       icode Snort options) via the "--icmp-types type/code" convention.
463     - Added support for emulating the dsize Snort option through the use
464       of the Netfilter length match.
465     - Changed --type argument to --include-types and added list support
466       so it accepts things like "chat,ddos".  Also added --exclude-types
467       command line argument.
468     - Added support for multiple sid's (as a comma separated list) in
469       --snort-sids argument.  Also added --exclude-sids argument to remove
470       a list of sids from translation.
471     - Added support for the replace Snort option (originally from the
472       Snort_inline project).  The requires the replace string patch.
473     - Added support for restricting jump rules to a list of interfaces
474       via the --restrict-intf argument.
475     - Added kernel patch to extend the maximum packet length that the
476       string match extension will attempt to search from 1024 bytes to
477       2048 bytes (requires a kernel re-compile of course).
478     - Added DRP and REJ strings to logging prefix if --ipt-drop or
479       --ipt-reject is specified.
480     - Added snortspoof.pl, which is a simple perl script that emulates
481       the Stick and Snot tools.
482
483 fwsnort-0.7.0 (06/05/2005):
484     - Added support for the Snort pass action by using the ACCEPT target.
485     - Added support for the Snort log action by using the ULOG target
486       (which can then log the packet via the pcap writer).
487     - Added support for all fwsnort alerts to be logged via the ULOG
488       target instead of the LOG target.
489     - Added support for the "resp" keyword to allow it to drive the
490       Netfilter argument to the REJECT target.
491     - Added "pcre" to the unsupported list... this knocks the fwsnort
492       translation rate down to about 50% for Snort-2.3 rules (pcre is
493       heavily utilized).
494     - Added "priority" and "rev" to comment lines.
495
496 fwsnort-0.6.5 (03/20/2005):
497     - Updated to not attempt to download Snort rules from snort.org
498       because the rules are no longer available for automatic downloads
499     - Changed the install.pl script and the --update-rules mode for
500       fwsnort to download the latest signature set from
501       http://www.bleedingsnort.com/.
502       (Snort.org is now offering pay-service around their rule sets).
503     - Added signature test for the "flowbits" keyword.
504
505 fwsnort-0.6.4 (12/18/2004):
506     - Updated to Snort-2.3 rules.  FWSnort can convert a total of 1710
507       out of 2559 total Snort-2.3 rules.
508     - Updated to new Snort rules download link for --update-rules mode:
509       http://www.snort.org/dl/rules/snortrules-snapshot-CURRENT.tar.gz
510     - Updated to standard [+], [-], and [*] prefixes for info, warning
511       and die logging messages.
512     - Added --replace-string patches.
513
514 fwsnort-0.6.3 (04/04/2004):
515     - Added ignore functionality for both IPs and networks
516     - Split --ipt-block into --ipt-drop and --ipt-reject to add DROP
517       or REJECT rules respectively.
518     - Added --add-deleted option to allow rules in the "deleted.rules"
519       file to be added.
520
521 fwsnort-0.6.2 (03/19/2004):
522     - Added --internal-net and --dmz-net options so that internal and
523       dmz networks can be manually specified without having to parse
524       the output of ifconfig.  This is most useful for running fwsnort
525       on a linux system that is acting as a bridge where no ip addresses
526       are assigned to the interfaces.
527     - Bugfix for missing icmp-port-unreachable rejects for UDP packets.
528
529 fwsnort-0.6.1 (02/01/2004):
530     - Bugfix for not adding dmz interface rules to INPUT chain.
531     - Bugfix for not getting the DMZ interface network.
532
533 fwsnort-0.6 (01/04/2004):
534     - Speed increase and disk access decrease by writing iptables
535       commands to the iptables script only after all lines have been
536       generated.
537     - Bugfix for DMZ interface.
538     - Bugfix for multiple ip_proto fields.
539     - Removed the ip protocol as an allowed protocol for translation.
540     - Bugfix for negated port numbers.
541     - Removed "<-" rule direction since not even snort supports this.
542     - Fixed snort rule updates from snort.org.
543
544 fwsnort-0.5 (12/21/2003):
545     - Added "-j REJECT --reject-with tcp-reset" for tcp sessions
546       if the --ipt-block option is specified.
547     - Added ability to download latest snort rules from snort.org.
548     - Added --no-ipt-jumps.
549     - Added better checking for iptables build characteristics such
550       as the LOG target and wether or not the ipv4options extension
551       is compiled in.
552     - Added config preservation code from psad in install.pl.