Snort [PFSense] está configurado mas não está bloqueando ou gerando alertas!

Esta é uma pergunta antiga, mas como esse mesmo problema volta ocasionalmente, retransmitirei o que aprendi. No meu caso, foi em uma caixa Smoothwall, mas Snort é Snort.

Depois de atualizar recentemente para a versão mais recente do Snort, descobri que, embora estivesse funcionando perfeitamente antes, não estava mais fazendo seu trabalho. Verificações das configurações do Smoothwall não revelaram nada fora do comum. Snort estava definitivamente correndo, simplesmente não estava detectando nada.

O problema era que o snort.conf mais recente (em / etc) tinha algumas linhas críticas comentadas. Especificamente,

include $PREPROC_RULE_PATH/preprocessor.rules
include $PREPROC_RULE_PATH/decoder.rules

Isso significava que o Snort simplesmente não processaria os pacotes enquanto eles passavam. Uncommenting essas linha (localizado perto do final do arquivo) e reiniciar o Snort retornou o sistema à funcionalidade completa.

Verifique os logs em busca de erros relacionados ao Snort e verifique se a interface está "iniciada" na aba Snort Interfaces. Deve haver um "X" vermelho ao lado da interface ("WAN", por exemplo). Também não se esqueça de clicar no botão "Atualizar regras" na guia Atualizar. Você também pode tentar atualizar o pfSense para LIBERTAR.