<!doctype html public "-//w3c//dtd html 4.0 transitional//en">
<html>
Hey All,
<p>I'm running Nortel Instant Internet to terminate my PPPoE from my ISP,
do NAT, filtering and proxying, etc for my home LAN. I have created a DMZ
between the II and the DSL modem where ONLY PPPoE flows. I want to run
my Snort sensor in stealth mode without an IP in parallel to the II box
and the stealth interface pointed at the PPPoE hub. Everything works wonderfully
with tcpdump, as you can see this Code-Red scan was picked up with that
setup:
<br> 
<pre>22:04:29.366347 PPPoE  [ses 0x1ed7] IP 50: y.qc.sympatico.ca.3455 > x.sympatico.ca.www: S 1439538750:1439538750(0) win 16384 <mss 1414,nop,nop,[|tcp]> (DF)</pre>

<pre>22:04:29.366347 PPPoE  [ses 0x1ed7] IP 42: x.sympatico.ca.www > y.qc.sympatico.ca.3455: R 0:0(0) win 0</pre>

<pre>22:04:29.986347 PPPoE  [ses 0x1ed7] IP 50: y.qc.sympatico.ca.3455 > x.sympatico.ca.www: S 1439538750:1439538750(0) win 16384 <mss 1414,nop,nop,[|tcp]> (DF)</pre>

<pre>22:04:29.986347 PPPoE  [ses 0x1ed7] IP 42: x.sympatico.ca.www > y.qc.sympatico.ca.3455: R 0:0(0) win 0</pre>
Now, when I run Snort, I get nothing, even though I have scanned myself
trying to trigger stuff. Is it because libpcap is not decoding the IP that
is encapsulated in the PPPoE frames, or is it because snort is not looking
at anything other than IP type 1, 6, and 17 datagrams?
<p>I'd dive into the souces and start fixing but it will take me quite
awhile on my own (been awhile since I did any of that), and I don't want
to be working on it in a vacuum, should I decide to.
<p>Opinions/suggestions/flames are welcomed.
<p>W
<br> 
<p>--
<br>FHLSim - The Fantasy Hockey League Simulator of Choice
<br><A HREF="http://www.FHLSim.com/">http://www.FHLSim.com/</A>
<br> </html>