18f4e8d7a06259f97232be4fb4047c6621ada90b
[fwsnort.git] / README
1 fwsnort   (Firewall Snort)
2 Version:  1.1
3 Author:   Michael Rash <mbr@cipherdyne.org>
4 Website:  http://www.cipherdyne.org/fwsnort/
5
6 Snort is a registered trademark of Sourcefire, Inc
7
8 INSTALLATION:
9
10     (See the INSTALL file in the source directory.)
11
12 UPGRADING:
13
14     If are installing fwsnort from sources (i.e. not through a distribution
15 package manager such as RPM or apt), you can just run the "install.pl" script.
16 It takes care of upgrades, and it will merge any customized configuration
17 variables in the /etc/fwsnort/fwsnort.conf file with the new file in the
18 source directory.  Even if you are using a distribution package manager, you
19 can still run the install.pl script in order to preserve any existing
20 configuration.  However, in this case the install.pl script will also put in
21 place fwsnort according to how it normally handles installation paths, and
22 these may not match how your distribution package manager normally handles
23 things.
24
25
26 DESCRIPTION:
27
28 fwsnort is a perl script that translates Snort rules into equivalent iptables
29 rules.  Some Snort rule options (such as "pcre") have no direct translation
30 into iptables options so not all Snort rules can be translated.  However
31 approximately 65% of all Snort-2.3.3 (the last release of Snort under the GPL)
32 signatures can be successfully translated through the use of the iptables
33 string match module.  When tranlating Snort rules, fwsnort makes heavy use of
34 the iptables string match extension with its "--hex-string" option (added to
35 iptables by the fwsnort project) which accepts Snort "content" argument with
36 hex bytes between "|" chars (such as "|5a 4e|").  This allows the content
37 fields in Snort rules to be directly input into iptables rulesets from the
38 command line.  fwsnort alse parses the running iptables policy on the machine
39 in order to determine which Snort rules are applicable to the specific policy
40 loaded on the machine.
41
42 fwsnort requires the iptables string match module in order to be able to
43 detect application layer attacks.  If you are running modern Linux
44 distribution then it is likely that the kernel has been compiled with iptables
45 string matching support, and fwsnort will test this.
46
47 PLATFORMS:
48
49 fwsnort is compatible with iptables only, hence fwsnort will exclusively run
50 on Linux running a 2.6 series kernel (with some support for 2.4 kernels as
51 well).
52
53 COPYRIGHT:
54
55 Copyright (C) 2003-2010 Michael Rash (mbr@cipherdyne.org)
56
57 fwsnort is distributed under the GNU General Public License (GPLv2), and the
58 latest version may be downloaded from http://www.cipherdyne.org/
59
60 This program is free software; you can redistribute it and/or modify
61 it under the terms of the GNU General Public License as published by
62 the Free Software Foundation; either version 2 of the License, or
63 (at your option) any later version.
64
65 This program is distributed in the hope that it will be useful,
66 but WITHOUT ANY WARRANTY; without even the implied warranty of
67 MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the
68 GNU General Public License for more details.
69
70 You should have received a copy of the GNU General Public License
71 along with this program; if not, write to the Free Software
72 Foundation, Inc., 51 Franklin Street, Fifth Floor, Boston, MA  02110-1301, USA