<html dir="ltr">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1">
<style type="text/css" id="owaParaStyle"></style>
</head>
<body fpstyle="1" ocsi="0">
<div style="direction: ltr;font-family: Tahoma;color: #000000;font-size: 10pt;"><br>
<div style="font-family: Times New Roman; color: #000000; font-size: 16px">
<hr tabindex="-1">
<div id="divRpF481412" style="direction: ltr;"><font face="Tahoma" size="2" color="#000000"><b>From:</b> Peter Fyon [peter.fyon@...2499...]<br>
<b>Sent:</b> Saturday, October 04, 2014 10:42 AM<br>
<b>To:</b> Hui Cao (huica)<br>
<b>Cc:</b> snort-devel@lists.sourceforge.net<br>
<b>Subject:</b> Re: [Snort-devel] DAQ 2.0.2, NFQ - DAQ error when trying to start snort<br>
</font><br>
</div>
<div></div>
<div>
<div dir="ltr">Thanks Hui,
<div><br>
</div>
<div>I removed the -i eth0 from my snort command line options and it started without the warning. Not quite sure why the DAQ fails to load if you specify an interface for snort since, as I found by commenting out that chunk of code, it looks like the DAQ options
 override the snort ones.</div>
<div><br>
</div>
<div>* The NFQ DAQ gets packets via iptables, not directly from an interface.  Snort could just ignore the -i option in that case, but it errs on the side of letting you know when something fundamentally won't work as configured.</div>
<div><br>
</div>
<div>Peter</div>
</div>
<div class="gmail_extra"><br>
<div class="gmail_quote">On Tue, Sep 30, 2014 at 2:52 PM, Hui Cao (huica) <span dir="ltr">
<<a href="mailto:huica@...3461..." target="_blank">huica@...3461...</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex; border-left:1px #ccc solid; padding-left:1ex">
<div style="word-wrap:break-word; color:rgb(0,0,0); font-size:14px; font-family:Calibri,sans-serif">
<div>Hi Peter,</div>
<div><br>
</div>
<div>The code is to check whether you have configured the interface.  NFQ will not allow interface. So I guess you have specified interface in your configuration.</div>
<div><br>
</div>
<div>Best,</div>
<div>Hui.</div>
<div><br>
</div>
<span>
<div style="font-family:Calibri; font-size:11pt; text-align:left; color:black; border-bottom:medium none; border-left:medium none; padding-bottom:0in; padding-left:0in; padding-right:0in; border-top:#b5c4df 1pt solid; border-right:medium none; padding-top:3pt">
<span style="font-weight:bold">From: </span>Peter Fyon <<a href="mailto:peter.fyon@...2499..." target="_blank">peter.fyon@...2499...</a>><br>
<span style="font-weight:bold">Date: </span>Sunday, September 28, 2014 at 3:09 PM<br>
<span style="font-weight:bold">To: </span>"<a href="mailto:snort-devel@lists.sourceforge.net" target="_blank">snort-devel@...362....net</a>" <<a href="mailto:snort-devel@lists.sourceforge.net" target="_blank">snort-devel@lists.sourceforge.net</a>><br>
<span style="font-weight:bold">Subject: </span>[Snort-devel] DAQ 2.0.2, NFQ - DAQ error when trying to start snort<br>
</div>
<div>
<div class="h5">
<div><br>
</div>
<div>
<div>
<div dir="ltr">Hi Snort-devel,
<div><br>
</div>
<div>While trying to enable active defense on my snort setup (single interface on a SPAN port), I ran into this error:</div>
<div><br>
</div>
<div>The nfq DAQ module does not support interface or readback mode!<br>
</div>
<div><br>
</div>
<div>My C's a bit rusty, but looking at the code (see diff at the bottom) it seems like it just checks to see if the DAQ_Config_t name is set and fails out if so. I can't see the commit log so I don't know why this block of code was added, but everything works
 fine after commenting it out and recompiling. Did I just work around something that I shouldn't have?</div>
<div><br>
</div>
<div>daq_nfq.c</div>
<div>
<div>200,204c200,204<br>
</div>
</div>
<div>
<div><     if(cfg->name && *(cfg->name))</div>
<div><     {</div>
<div><         snprintf(errBuf, errMax, "The nfq DAQ module does not support interface or readback mode!");</div>
<div><         return DAQ_ERROR_INVAL;</div>
<div><     }</div>
<div>---</div>
<div>> //    if(cfg->name && *(cfg->name))</div>
<div>> //    {</div>
<div>> //        snprintf(errBuf, errMax, "The nfq DAQ module does not support interface or readback mode!");</div>
<div>> //        return DAQ_ERROR_INVAL;</div>
<div>> //    }</div>
</div>
<div><br>
</div>
<div><br>
</div>
<div>Peter</div>
</div>
</div>
</div>
</div>
</div>
</span></div>
</blockquote>
</div>
<br>
</div>
</div>
</div>
</div>
</body>
</html>