You may get different results with a newer Snort.<br><br><div class="gmail_quote">On Wed, May 9, 2012 at 1:18 PM, Jon Larson <span dir="ltr"><<a href="mailto:jlarson@...3287..." target="_blank">jlarson@...3287...</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0pt 0pt 0pt 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><u></u>

  
    
    
  
  <div text="#000000" bgcolor="#ffffff">
    Snort is Version 2.9.0.5<br>
    DAQ is 0.5 I think.<br>
    <br>
    The storm occurs when I have a rule configured like this:<br>
    alert tcp [192.168.10.10] any -> [192.168.20.11] any
    (resp:reset_both; flow:to_server,established; )<br>
    <br>
    Anyway, snort isn't really *supposed* to be used like a firewall in
    this manner so we've moved on.<div><div class="h5"><br>
    <br>
    On 5/8/2012 9:57 PM, Russ Combs wrote:
    <blockquote type="cite">What version of Snort and DAQ are you using?  Snort
      has a check to prevent RST to RST.<br>
      <br>
      <div class="gmail_quote">On Tue, May 1, 2012 at 7:46 PM, Jon
        Larson <span dir="ltr"><<a href="mailto:jlarson@...3287..." target="_blank">jlarson@...3287...</a>></span>
        wrote:<br>
        <blockquote class="gmail_quote" style="margin:0pt 0pt 0pt 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">I/we need to get snort to operate on two
          interfaces.  For simplicity,<br>
          let's just say I want to have snort monitor traffic on eth0,
          but then<br>
          send its resets out on eth1.  What's the configuration magic
          to allow this?<br>
          <br>
          I've tried something like this in the snort.conf:<br>
          config response: device eth1 attempts 2<br>
          <br>
          This, however, seems to get snort into this mode (when it
          detects some<br>
          TCP connection it's configured to reset) where it "sniffs"
          back in the<br>
          RST packet (on the other interface), then sends another RST
          packet.<br>
          Kinda like "eating it's own tail".  The snort process consumes
          the CPU<br>
          and floods the network in this mode.<br>
          <br>
          Also is there documentation someone could point me to
          regarding<br>
          configuring snort for multiple interfaces?<br>
          <br>
          Any and all information would be greatly appreciated!<br>
          Jonny L.<br>
          <br>
          <br>
------------------------------------------------------------------------------<br>
          Live Security Virtual Conference<br>
          Exclusive live event will cover all the ways today's security
          and<br>
          threat landscape has changed and how IT managers can respond.
          Discussions<br>
          will include endpoint security, mobile security and the latest
          in malware<br>
          threats. <a href="http://www.accelacomm.com/jaw/sfrnl04242012/114/50122263/" target="_blank">http://www.accelacomm.com/jaw/sfrnl04242012/114/50122263/</a><br>
          _______________________________________________<br>
          Snort-devel mailing list<br>
          <a href="mailto:Snort-devel@lists.sourceforge.net" target="_blank">Snort-devel@lists.sourceforge.net</a><br>
          <a href="https://lists.sourceforge.net/lists/listinfo/snort-devel" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-devel</a><br>
          <br>
          Please visit <a href="http://blog.snort.org" target="_blank">http://blog.snort.org</a>
          for the latest news about Snort!<br>
        </blockquote>
      </div>
      <br>
    </blockquote>
  </div></div></div>

</blockquote></div><br>