<html><body><div style="color:; background-color:; font-family:arial, helvetica, sans-serif;font-size:13px"><div>Hi list</div><div><br></div><div style="color: rgb(0, 0, 0); font-size: 13px; font-family: arial, helvetica, sans-serif; background-color: transparent; font-style: normal;">I'm trying to run snort in inline mode in FreeBSD and IPFW as DAQ. But it does not drop packets. Here's my configurations:</div><div style="color: rgb(0, 0, 0); font-size: 13px; font-family: arial, helvetica, sans-serif; background-color: transparent; font-style: normal;"><br></div><div style="color: rgb(69, 69, 69);"></div><div style="color: rgb(69, 69, 69);">Here is my custom snort.conf: (named snr.conf)</div><div style="color: rgb(69, 69, 69);"><div><font color="#454545" size="2"><span class="yiv8964733925Apple-tab-span" style="white-space: pre;">    </span>config daq: ipfw</font></div><div><font color="#454545" size="2"><span class="yiv8964733925Apple-tab-span"
 style="white-space: pre;">        </span>config daq_mode: inline</font></div><div><font color="#454545" size="2"><span class="yiv8964733925Apple-tab-span" style="white-space: pre;"> </span>config policy_mode: inline</font></div><div><font color="#454545" size="2"><span class="yiv8964733925Apple-tab-span" style="white-space: pre;">      </span>output alert_full: stdout</font></div><div><font color="#454545" size="2"><span class="yiv8964733925Apple-tab-span" style="white-space: pre;">       </span>include snort.rule</font></div><div><font color="#454545" size="2">Here is a simple rule file: (name snort.rule)</font></div><div><font color="#454545" size="2"><div><span class="yiv8964733925Apple-tab-span" style="white-space: pre;"> </span>drop tcp any any -> any 23 (msg: "Drop telnet packets"; sid: 1000001)</div><div><span class="yiv8964733925Apple-tab-span" style="white-space: pre;">    </span>pass ip any any -> any any</div><div>And here is what I do:</div><div><span
 class="yiv8964733925Apple-tab-span" style="white-space: pre;">  </span>snort -c /root/snr.conf -Q --alert-before-pass<br></div><div>And I expect the ICMP packets to pass and telnet packets to drop. But both packet types pass! Am I missing something? Or snort is buggy in FreeBSD and inline mode?</div></font></div></div></div></body></html>