<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 3.2//EN">
<HTML>
<HEAD>
<META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=Windows-1252">
<META NAME="Generator" CONTENT="MS Exchange Server version 6.0.5770.91">
<TITLE>RE: [Snort-users] Snort Inline</TITLE>
</HEAD>
<BODY>
<!-- Converted from text/plain format -->

<P><FONT SIZE=2>Well, I've done some testing, and my config does not work.  Specifically I'm using the ftp 'pass wh00t' rule.  Using -Q does not alert, not does it drop the packet (as I still get logged in).  Leaving off the -Q generates an alert (even though the rule says drop, it still alerts) but does not drop.</FONT></P>

<P><FONT SIZE=2>Rich Adamson said that this wouldn't work correctly, and I'm beginning to believe it.  It's quite likely that I've made a mistake in my setup, and I'd love to get some help from someone who has this working correctly.  At the moment, however, I'm inclined to go look at the flexible response...</FONT></P>

<P><FONT SIZE=2>Please, fellow inline users, post your config steps so we can compare notes.</FONT>
</P>

<P><FONT SIZE=2>-----Original Message-----</FONT>

<BR><FONT SIZE=2>From: Jihoon Chung [<A HREF="mailto:difro@...7892...">mailto:difro@...7892...</A>]On Behalf Of Jihoon Chung</FONT>

<BR><FONT SIZE=2>Sent: Thursday, January 02, 2003 7:48 PM</FONT>

<BR><FONT SIZE=2>To: Bob McDowell</FONT>

<BR><FONT SIZE=2>Cc: 'Kevin Pietersma'; snort-users@lists.sourceforge.net</FONT>

<BR><FONT SIZE=2>Subject: Re: [Snort-users] Snort Inline</FONT>
</P>
<BR>

<P><FONT SIZE=2>Don't you have to put something like below to get all the packets?</FONT>
</P>

<P><FONT SIZE=2>iptables -t filter -A FORWARD -j QUEUE</FONT>
</P>

<P><FONT SIZE=2>Last time I used snort-inline (was very long ago..), I put the above</FONT>

<BR><FONT SIZE=2>line and it worked nicely..</FONT>
</P>

<P><FONT SIZE=2>On Thu, Jan 02, 2003 at 10:52:28AM -0600, Bob McDowell wrote:</FONT>

<BR><FONT SIZE=2>> I have no 'official' documentation as of yet.  I'm still feeling around in</FONT>

<BR><FONT SIZE=2>> the dark, searching for answers.  I can, however, share with you the (mostly</FONT>

<BR><FONT SIZE=2>> undocumented) steps you'll need to take.  Maybe someone from the list can</FONT>

<BR><FONT SIZE=2>> correct my mistakes.</FONT>

<BR><FONT SIZE=2>> </FONT>

<BR><FONT SIZE=2>> 1)  Get the iptables source and re-compile it into the kernel src, with ipq</FONT>

<BR><FONT SIZE=2>> enabled:  make install-devel KERNEL_DIR=(your kernel source dir)</FONT>

<BR><FONT SIZE=2>> 2)  Then compile your new kernel with that option.  You will have to enable</FONT>

<BR><FONT SIZE=2>> 'Experimental code' as well as 'Userspace queuing' in your 'make menuconfig'</FONT>

<BR><FONT SIZE=2>> step.</FONT>

<BR><FONT SIZE=2>> 3)  Get and install libpcap</FONT>

<BR><FONT SIZE=2>> 4)  Get and compile snort-inline - './configure --enable-inline'</FONT>

<BR><FONT SIZE=2>> 5)  Change one of the included rules from 'alert xyz' to 'drop xyz'</FONT>

<BR><FONT SIZE=2>> 6)  Run snort with the -Q option</FONT>

<BR><FONT SIZE=2>> </FONT>

<BR><FONT SIZE=2>> If you get no errors, you are now as far as I am...</FONT>

<BR><FONT SIZE=2>> </FONT>

<BR><FONT SIZE=2>> As I've stated, I'm have issues with logging.  With the -Q option passed to</FONT>

<BR><FONT SIZE=2>> snort, it does not log anything at all.  I suppose it may not even be</FONT>

<BR><FONT SIZE=2>> working at all, but at least I've quieted all the errors.</FONT>

<BR><FONT SIZE=2>> </FONT>

<BR><FONT SIZE=2>> </FONT>
</P>

</BODY>
</HTML>