<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 3.2//EN">
<HTML>
<HEAD>
<META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=iso-8859-1">
<META NAME="Generator" CONTENT="MS Exchange Server version 5.5.2656.60">
<TITLE>RE: [Snort-users] Snorting on 2 interfaces</TITLE>
</HEAD>
<BODY>

<P><FONT SIZE=2>Hi,</FONT>
</P>

<P><FONT SIZE=2>Ultimately it will depend on what type of output you want from snort.  You can follow the method that Alex outlined or as an alternative you can create two instances of snort.  This can be done by creating two snort.conf files and two output locations to write alerts.  Then run snort once with the first snort.conf and then again with the second.  (This is a very simplistic description but its not too hard to get going.)</FONT></P>

<P><FONT SIZE=2>This works better for me as the alerts are entered into the DB as multiple sources so I can also sort alerts by interface.  This also allows me to run different rule sets on each interface.  I have the interfaces plugged into different segments of the network so while one rule might generate lots of false positives on one interface and generate true positives on another.  I don't have to turn off the rule completely or dig through a bunch of fluff, just have to disable it on the one interface only.</FONT></P>

<P><FONT SIZE=2>Shawn Truax</FONT>
<BR><FONT SIZE=2>Security Specialist</FONT>
<BR><FONT SIZE=2>Corporate Security</FONT>
<BR><FONT SIZE=2>155 University Ave.</FONT>
<BR><FONT SIZE=2>Toronto, Ontario</FONT>
<BR><FONT SIZE=2>M5H 3B7</FONT>
<BR><FONT SIZE=2>(416)327-1107</FONT>
</P>
<BR>

<P><FONT SIZE=2>-----Original Message-----</FONT>
<BR><FONT SIZE=2>From: AJ Butcher, Information Systems and Computing</FONT>
<BR><FONT SIZE=2>[<A HREF="mailto:Alex.Butcher@...11254...">mailto:Alex.Butcher@...11254...</A>]</FONT>
<BR><FONT SIZE=2>Sent: April 22, 2004 3:54 AM</FONT>
<BR><FONT SIZE=2>To: Conan the Librarian; snort-users@...973...et</FONT>
<BR><FONT SIZE=2>Subject: Re: [Snort-users] Snorting on 2 interfaces</FONT>
</P>
<BR>
<BR>
<BR>

<P><FONT SIZE=2>--On 17 April 2004 13:26 -0600 Conan the Librarian </FONT>
<BR><FONT SIZE=2><conan_the_librarian@...4723...> wrote:</FONT>
</P>

<P><FONT SIZE=2>> Hello all,</FONT>
<BR><FONT SIZE=2>></FONT>
<BR><FONT SIZE=2>> Need a little help here configuring snort to sniff on two interfaces</FONT>
<BR><FONT SIZE=2>> simultaneously in a low traffic environment.</FONT>
<BR><FONT SIZE=2>></FONT>
<BR><FONT SIZE=2>> Tried editing /etc/init.d/snort config file with IFACE=eth0,eth1</FONT>
</P>

<P><FONT SIZE=2>That will try to sniff on an interface named "eth0,eth1" and will almost </FONT>
<BR><FONT SIZE=2>certainly fail.</FONT>
</P>

<P><FONT SIZE=2>> then IFACE=[eth0,eth1]</FONT>
</P>

<P><FONT SIZE=2>Bogus.</FONT>
</P>

<P><FONT SIZE=2>> then two separate lines of IFACE=eth0 and IFACE=eth1</FONT>
</P>

<P><FONT SIZE=2>The second line will redefine the shell variable IFACE from eth0 to eth1 </FONT>
<BR><FONT SIZE=2>and snort will only sniff on eth1.</FONT>
</P>

<P><FONT SIZE=2>> all with no joy. Read Beale, Foster and Posluns' book cover to cover.</FONT>
<BR><FONT SIZE=2>> Checked man pages. Searched archives. All have HINTS that it can be done</FONT>
<BR><FONT SIZE=2>> but no one specifies the syntax of the initiation or conf file.</FONT>
</P>

<P><FONT SIZE=2>With the standard snortd init script, setting</FONT>
</P>

<P><FONT SIZE=2>        IFACE="eth1 -i eth0 -i eth3"</FONT>
</P>

<P><FONT SIZE=2>should work. Note the '-i's for the second and subsequent interfaces.</FONT>
</P>

<P><FONT SIZE=2>Alternatively, bond the interfaces together, and attach snort to the bond0 </FONT>
<BR><FONT SIZE=2>interface.</FONT>
</P>

<P><FONT SIZE=2>> Anyone done this before?</FONT>
<BR><FONT SIZE=2>> MJ</FONT>
</P>

<P><FONT SIZE=2>Best Regards,</FONT>
<BR><FONT SIZE=2>Alex.</FONT>
<BR><FONT SIZE=2>-- </FONT>
<BR><FONT SIZE=2>Alex Butcher: Security & Integrity, Personal Computer Systems Group</FONT>
<BR><FONT SIZE=2>Information Systems and Computing             GPG Key ID: F9B27DC9</FONT>
<BR><FONT SIZE=2>GPG Fingerprint: D62A DD83 A0B8 D174 49C4 2849 832D 6C72 F9B2 7DC9</FONT>
</P>
<BR>
<BR>
<BR>

<P><FONT SIZE=2>-------------------------------------------------------</FONT>
<BR><FONT SIZE=2>This SF.Net email is sponsored by: IBM Linux Tutorials</FONT>
<BR><FONT SIZE=2>Free Linux tutorial presented by Daniel Robbins, President and CEO of</FONT>
<BR><FONT SIZE=2>GenToo technologies. Learn everything from fundamentals to system</FONT>
<BR><FONT SIZE=2>administration.<A HREF="http://ads.osdn.com/?ad_id=1470&alloc_id=3638&op=click" TARGET="_blank">http://ads.osdn.com/?ad_id=1470&alloc_id=3638&op=click</A></FONT>
<BR><FONT SIZE=2>_______________________________________________</FONT>
<BR><FONT SIZE=2>Snort-users mailing list</FONT>
<BR><FONT SIZE=2>Snort-users@lists.sourceforge.net</FONT>
<BR><FONT SIZE=2>Go to this URL to change user options or unsubscribe:</FONT>
<BR><FONT SIZE=2><A HREF="https://lists.sourceforge.net/lists/listinfo/snort-users" TARGET="_blank">https://lists.sourceforge.net/lists/listinfo/snort-users</A></FONT>
<BR><FONT SIZE=2>Snort-users list archive:</FONT>
<BR><FONT SIZE=2><A HREF="http://www.geocrawler.com/redir-sf.php3?list=snort-users" TARGET="_blank">http://www.geocrawler.com/redir-sf.php3?list=snort-users</A></FONT>
</P>

</BODY>
</HTML>