<html>
Well, let's see. The linksys router has the capability to put a machine
Link a snort box as a DMZ host. Plug the Snort box into the Router
direct. Set up the router with DMZ hosting. Make the DMZ machine stealth
(use the cable mod on the Snort sites). <br><br>
The router does the connection authentication for your cable drop. This
needs to be the ONLY NIC viewable ( machine which has viability or can be
see on your perimeter) from the cable company. Make sure you use the MAC
spoofing ( set the MAC address spoofing of the registered computer) to
address the cable companies requirement for authentication. Make sure you
are NATing all inside addresses. You can start the Linux ether card
without an IP address. <br><br>
Then just start SNORTING AWAYYYYYYY<br><br>
At 03:21 PM 10/26/2001 +0200, coen.bongers@...2897... wrote:<br>
<blockquote type=cite class=cite cite>"tommy", wrote:<br><br>
<br><br>
     Hello.  ;0)<br><br>
     I need some help.  I have a cable
connection that in hooked into my 4 port<br>
     LinkSys Router.  From there I have a hub
plugged into my LinkSys router with<br>
     my snort box in it in the DMZ.  I want to
change this setup.  What I want to<br>
     do is, have my cable connection go into my Hub,
then from there plug into my<br>
     router.  So I can then put my Snort box on
the hub with no IP address (im<br>
     running snort 1.8 on Mandrake).  I tried
doing this but it didnt work.  On my<br>
     router it has a WAN connection and an
uplink?  Do I need a cross over cable<br>
     or something?  Also, how would I plug it in
the ports?  From the hub to the<br>
     WAn port on my LinkSys?  Thanks in
advance.<br><br>
<br>
I have a comparable situation at home....<br><br>
but before I explain, I have a question:<br><br>
While youre snort box is in your DMZ, won't it miss all the outbound
traffic and all the inbound traffic for wich you have port-forwarders
defined in the linksys?  Since the linksys has an integrated switch,
and it onlys sends packets to the DMZ for wich<br>
it has no other destination. For instance, my port 25 and 110 connections
go to my internal mailserver.<br><br>
Guess, this is exactly the reason why you want the snort box to be in
front of the router, not?<br><br>
great router by the way!!! (for its price that is..)<br><br>
Let me sum up what I have;<br><br>
Internet -> Cable modem -> Straight UTP cable to the hub's
uplink(crossed)port -> Straight cable to WAN port on linksys (X or MX
switch on the port, I don't remember, guess it is crossed) -> straight
cables to Internal network equipement, and the aktive<br>
(management) interface on the snort box.<br><br>
Wether a cable needs to be straight or cross, is easily determined, just
get both and try..... Link light on means you have the right
cable...<br><br>
Also from the hub is a second cable going to the Promisc. interface of
the snort box. Thus enabling it to see al the traffic flowing from the
cable modem to your linksys and visa-versa.<br><br>
I defined a port forward (of a port number only known to me) to forward
from the internet to the internal interface of the snort-box, wich runs
also ACID, so I can see my snort logs from the inside and the outside. (I
know that this might not as secure as<br>
I want, but this is just the way it is for now)<br><br>
Only problem I still have is that from the session of other systems in my
subnet/cable segment I only see the responses, and not the requests. As I
understand, this is because the receive channel and the send channel of
the cable modem are in a different<br>
frequency, and my modems receive channel does not see other modems send
channels..<br><br>
Anybody has an idea on how tho overcome this issue? Can a Com21 Cable
modem be told to also receive on the other modems send frequency??
Anybody?<br><br>
Anyway good luck and have fun!!<br><br>
P.S> I'm also rather new at this, so if anybody sees an blatant error
in my explanation, please let me know...<br><br>
<br>
Coen Bongers<br>
-------------------------------------------------------------------------------------------------------------------------------------------------------<br>
Network Coordinator<br>
Dept. InfraStructure.<br>
-------------------------------------------------------------------------------------------------------------------------------------------------------<br>
If anything else fails, read the instructions....<br><br>
<br>
_______________________________________________<br>
Snort-users mailing list<br>
Snort-users@lists.sourceforge.net<br>
Go to this URL to change user options or unsubscribe:<br>
<a href="https://lists.sourceforge.net/lists/listinfo/snort-users" eudora="autourl">https://lists.sourceforge.net/lists/listinfo/snort-users</a><br>
Snort-users list archive:<br>
<a href="http://www.geocrawler.com/redir-sf.php3?list=snort-users" eudora="autourl">http://www.geocrawler.com/redir-sf.php3?list=snort-users</a></blockquote>
<x-sigsep><p></x-sigsep>
<b>Wayne T Work<br>
</b>Manager of Information Systems Security<br>
Cybergnostic.net, Inc<br>
(O) 203.331.4417<br>
(C) 203.217.5004<br>
<a href="http://wwork@...3179.../">wwork@...3550...</a><a href="http://wwork@...3179.../">com</a></html>