<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 3.2//EN">
<HTML>
<HEAD>
<TITLE>Re: [Snort-users] Re: Snort Error - Couldn't resolve hostname HOME_NET</TITLE>
</HEAD>
<BODY>
<!-- Converted from text/plain format -->

<P><FONT SIZE=2>The problem is actually with your EXTERNAL_NET setting. It should be:<BR>
var EXTERNAL_NET !$HOME_NET<BR>
<BR>
Note the dollar sign.<BR>
<BR>
<BR>
<BR>
<BR>
-----Original Message-----<BR>
From: snort-users-admin@lists.sourceforge.net <snort-users-admin@...1844...ourceforge.net><BR>
To: snort-users@lists.sourceforge.net <snort-users@lists.sourceforge.net><BR>
Sent: Tue Feb 01 20:32:51 2005<BR>
Subject: [Snort-users] Re: Snort Error - Couldn't resolve hostname HOME_NET<BR>
<BR>
Here is the portion of my snort.conf where home net is defined<BR>
<BR>
var HOME_NET any<BR>
<BR>
# Set up the external network addresses as well.  A good start may be "any"<BR>
var EXTERNAL_NET !HOME_NET<BR>
<BR>
<BR>
i have tryed 192.168.0.1 ( the ip of the box ) also i have tryed 192.168.0.1/24<BR>
<BR>
<BR>
<BR>
<BR>
On Tue, 1 Feb 2005 18:01:38 -0800, Darksun8 <drksun@...11827...> wrote:<BR>
> [root@...274... snort]# snort -c /etc/snort/snort.conf &<BR>
> [1] 3249<BR>
> [root@...274... snort]# Running in IDS mode<BR>
> Log directory = /var/log/snort<BR>
><BR>
> Initializing Network Interface eth0<BR>
><BR>
>       --== Initializing Snort ==--<BR>
> Initializing Output Plugins!<BR>
> Decoding Ethernet on interface eth0<BR>
> Initializing Preprocessors!<BR>
> Initializing Plug-ins!<BR>
> Parsing Rules file /etc/snort/snort.conf<BR>
><BR>
> +++++++++++++++++++++++++++++++++++++++++++++++++++<BR>
> Initializing rule chains...<BR>
> ,-----------[Flow Config]----------------------<BR>
> | Stats Interval:  0<BR>
> | Hash Method:     2<BR>
> | Memcap:          10485760<BR>
> | Rows  :          4099<BR>
> | Overhead Bytes:  16400(%0.16)<BR>
> `----------------------------------------------<BR>
> No arguments to frag2 directive, setting defaults to:<BR>
>   Fragment timeout: 60 seconds<BR>
>   Fragment memory cap: 4194304 bytes<BR>
>   Fragment min_ttl:   0<BR>
>   Fragment ttl_limit: 5<BR>
>   Fragment Problems: 0<BR>
>   Self preservation threshold: 500<BR>
>   Self preservation period: 90<BR>
>   Suspend threshold: 1000<BR>
>   Suspend period: 30<BR>
> Stream4 config:<BR>
>   Stateful inspection: ACTIVE<BR>
>   Session statistics: INACTIVE<BR>
>   Session timeout: 30 seconds<BR>
>   Session memory cap: 8388608 bytes<BR>
>   State alerts: INACTIVE<BR>
>   Evasion alerts: INACTIVE<BR>
>   Scan alerts: INACTIVE<BR>
>   Log Flushed Streams: INACTIVE<BR>
>   MinTTL: 1<BR>
>   TTL Limit: 5<BR>
>   Async Link: 0<BR>
>   State Protection: 0<BR>
>   Self preservation threshold: 50<BR>
>   Self preservation period: 90<BR>
>   Suspend threshold: 200<BR>
>   Suspend period: 30<BR>
> Stream4_reassemble config:<BR>
>   Server reassembly: INACTIVE<BR>
>   Client reassembly: ACTIVE<BR>
>   Reassembler alerts: ACTIVE<BR>
>   Zero out flushed packets: INACTIVE<BR>
>   flush_data_diff_size: 500<BR>
>   Ports: 21 23 25 53 80 110 111 143 513 1433<BR>
>   Emergency Ports: 21 23 25 53 80 110 111 143 513 1433<BR>
> HttpInspect Config:<BR>
>   GLOBAL CONFIG<BR>
>     Max Pipeline Requests:    0<BR>
>     Inspection Type:          STATELESS<BR>
>     Detect Proxy Usage:       NO<BR>
>     IIS Unicode Map Filename: /etc/snort/unicode.map<BR>
>     IIS Unicode Map Codepage: 1252<BR>
>   DEFAULT SERVER CONFIG:<BR>
>     Ports: 80 8080 8180<BR>
>     Flow Depth: 300<BR>
>     Max Chunk Length: 500000<BR>
>     Inspect Pipeline Requests: YES<BR>
>     URI Discovery Strict Mode: NO<BR>
>     Allow Proxy Usage: NO<BR>
>     Disable Alerting: NO<BR>
>     Oversize Dir Length: 500<BR>
>     Only inspect URI: NO<BR>
>     Ascii: YES alert: NO<BR>
>     Double Decoding: YES alert: YES<BR>
>     %U Encoding: YES alert: YES<BR>
>     Bare Byte: YES alert: YES<BR>
>     Base36: OFF<BR>
>     UTF 8: OFF<BR>
>     IIS Unicode: YES alert: YES<BR>
>     Multiple Slash: YES alert: NO<BR>
>     IIS Backslash: YES alert: NO<BR>
>     Directory Traversal: YES alert: NO<BR>
>     Web Root Traversal: YES alert: YES<BR>
>     Apache WhiteSpace: YES alert: YES<BR>
>     IIS Delimiter: YES alert: YES<BR>
>     IIS Unicode Map: GLOBAL IIS UNICODE MAP CONFIG<BR>
>     Non-RFC Compliant Characters: NONE<BR>
> rpc_decode arguments:<BR>
>   Ports to decode RPC on: 111 32771<BR>
>   alert_fragments: INACTIVE<BR>
>   alert_large_fragments: ACTIVE<BR>
>   alert_incomplete: ACTIVE<BR>
>   alert_multiple_requests: ACTIVE<BR>
> telnet_decode arguments:<BR>
>   Ports to decode telnet on: 21 23 25 119<BR>
> database: compiled support for ( mysql )<BR>
> database: configured to use mysql<BR>
> database:          user = snort<BR>
> database: password is set<BR>
> database: database name = snort<BR>
> database:          host = localhost<BR>
> database:   sensor name = 192.168.0.3<BR>
> database:     sensor id = 1<BR>
> database: schema version = 106<BR>
> database: using the "log" facility<BR>
> ERROR: ERROR /etc/snort/rules/bad-traffic.rules(12): Couldn't resolve<BR>
> hostname HOME_NET<BR>
> Fatal Error, Quitting..<BR>
><BR>
> in my config home net is set to "any", my network is 192.168.0.1 - 192.168.0.10<BR>
> i tryed 192.168.0.1/24.<BR>
><BR>
<BR>
<BR>
-------------------------------------------------------<BR>
This SF.Net email is sponsored by: IntelliVIEW -- Interactive Reporting<BR>
Tool for open source databases. Create drag-&-drop reports. Save time<BR>
by over 75%! Publish reports on the web. Export to DOC, XLS, RTF, etc.<BR>
Download a FREE copy at <A HREF="http://www.intelliview.com/go/osdn_nl">http://www.intelliview.com/go/osdn_nl</A><BR>
_______________________________________________<BR>
Snort-users mailing list<BR>
Snort-users@lists.sourceforge.net<BR>
Go to this URL to change user options or unsubscribe:<BR>
<A HREF="https://lists.sourceforge.net/lists/listinfo/snort-users">https://lists.sourceforge.net/lists/listinfo/snort-users</A><BR>
Snort-users list archive:<BR>
<A HREF="http://www.geocrawler.com/redir-sf.php3?list=snort-users">http://www.geocrawler.com/redir-sf.php3?list=snort-users</A><BR>
</FONT>
</P>

</BODY>
</HTML>