<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 3.2//EN">
<HTML>
<HEAD>
<TITLE>Re: [Snort-users] Re: Snort Error - Couldn't resolve hostname HOME_NET</TITLE>
</HEAD>
<BODY>
<!-- Converted from text/plain format -->

<P><FONT SIZE=2>Note: it is always in good form to respond to the list, not directly to anyone who responds to your question. The reason is because others will learn from the response by being able to search the archives. Also others with much more insight and knowledge that follow the list will also be able to respond.<BR>
<BR>
As to your question: the answer is already within several setup documents that others have created. Check out Patrick Harpers setup documents or what ever is appropriate for your OS. The documentation area of snort.org is a wealth of information for this. Have you searched the archives of the snort users list? Also a great wealth of information. You could probably also check the documentation that came with your snort install.<BR>
<BR>
Not a direct answer, but several pointers.<BR>
<BR>
<BR>
<BR>
<BR>
-----Original Message-----<BR>
From: Darksun8 <drksun@...11827...><BR>
To: Shawn Kottke <skottke@...11993...><BR>
Sent: Tue Feb 01 21:29:00 2005<BR>
Subject: Re: [Snort-users] Re: Snort Error - Couldn't resolve hostname HOME_NET<BR>
<BR>
thanks it works how can i start it as a service so it was allways be running?<BR>
<BR>
<BR>
On Tue, 1 Feb 2005 21:16:21 -0600, Shawn Kottke <skottke@...11993...> wrote:<BR>
><BR>
><BR>
> The problem is actually with your EXTERNAL_NET setting. It should be:<BR>
> var EXTERNAL_NET !$HOME_NET<BR>
><BR>
> Note the dollar sign.<BR>
><BR>
><BR>
><BR>
><BR>
> -----Original Message-----<BR>
> From: snort-users-admin@lists.sourceforge.net<BR>
> <snort-users-admin@lists.sourceforge.net><BR>
> To: snort-users@lists.sourceforge.net <snort-users@...2652...e.net><BR>
> Sent: Tue Feb 01 20:32:51 2005<BR>
> Subject: [Snort-users] Re: Snort Error - Couldn't resolve hostname HOME_NET<BR>
><BR>
> Here is the portion of my snort.conf where home net is defined<BR>
><BR>
> var HOME_NET any<BR>
><BR>
> # Set up the external network addresses as well.  A good start may be "any"<BR>
> var EXTERNAL_NET !HOME_NET<BR>
><BR>
><BR>
> i have tryed 192.168.0.1 ( the ip of the box ) also i have tryed<BR>
> 192.168.0.1/24<BR>
><BR>
><BR>
><BR>
><BR>
> On Tue, 1 Feb 2005 18:01:38 -0800, Darksun8 <drksun@...11827...> wrote:<BR>
> > [root@...274... snort]# snort -c /etc/snort/snort.conf &<BR>
> > [1] 3249<BR>
> > [root@...274... snort]# Running in IDS mode<BR>
> > Log directory = /var/log/snort<BR>
> ><BR>
> > Initializing Network Interface eth0<BR>
> ><BR>
> >       --== Initializing Snort ==--<BR>
> > Initializing Output Plugins!<BR>
> > Decoding Ethernet on interface eth0<BR>
> > Initializing Preprocessors!<BR>
> > Initializing Plug-ins!<BR>
> > Parsing Rules file /etc/snort/snort.conf<BR>
> ><BR>
> > +++++++++++++++++++++++++++++++++++++++++++++++++++<BR>
> > Initializing rule chains...<BR>
> > ,-----------[Flow Config]----------------------<BR>
> > | Stats Interval:  0<BR>
> > | Hash Method:     2<BR>
> > | Memcap:          10485760<BR>
> > | Rows  :          4099<BR>
> > | Overhead Bytes:  16400(%0.16)<BR>
> > `----------------------------------------------<BR>
> > No arguments to frag2 directive, setting defaults to:<BR>
> >   Fragment timeout: 60 seconds<BR>
> >   Fragment memory cap: 4194304 bytes<BR>
> >   Fragment min_ttl:   0<BR>
> >   Fragment ttl_limit: 5<BR>
> >   Fragment Problems: 0<BR>
> >   Self preservation threshold: 500<BR>
> >   Self preservation period: 90<BR>
> >   Suspend threshold: 1000<BR>
> >   Suspend period: 30<BR>
> > Stream4 config:<BR>
> >   Stateful inspection: ACTIVE<BR>
> >   Session statistics: INACTIVE<BR>
> >   Session timeout: 30 seconds<BR>
> >   Session memory cap: 8388608 bytes<BR>
> >   State alerts: INACTIVE<BR>
> >   Evasion alerts: INACTIVE<BR>
> >   Scan alerts: INACTIVE<BR>
> >   Log Flushed Streams: INACTIVE<BR>
> >   MinTTL: 1<BR>
> >   TTL Limit: 5<BR>
> >   Async Link: 0<BR>
> >   State Protection: 0<BR>
> >   Self preservation threshold: 50<BR>
> >   Self preservation period: 90<BR>
> >   Suspend threshold: 200<BR>
> >   Suspend period: 30<BR>
> > Stream4_reassemble config:<BR>
> >   Server reassembly: INACTIVE<BR>
> >   Client reassembly: ACTIVE<BR>
> >   Reassembler alerts: ACTIVE<BR>
> >   Zero out flushed packets: INACTIVE<BR>
> >   flush_data_diff_size: 500<BR>
> >   Ports: 21 23 25 53 80 110 111 143 513 1433<BR>
> >   Emergency Ports: 21 23 25 53 80 110 111 143 513 1433<BR>
> > HttpInspect Config:<BR>
> >   GLOBAL CONFIG<BR>
> >     Max Pipeline Requests:    0<BR>
> >     Inspection Type:          STATELESS<BR>
> >     Detect Proxy Usage:       NO<BR>
> >     IIS Unicode Map Filename: /etc/snort/unicode.map<BR>
> >     IIS Unicode Map Codepage: 1252<BR>
> >   DEFAULT SERVER CONFIG:<BR>
> >     Ports: 80 8080 8180<BR>
> >     Flow Depth: 300<BR>
> >     Max Chunk Length: 500000<BR>
> >     Inspect Pipeline Requests: YES<BR>
> >     URI Discovery Strict Mode: NO<BR>
> >     Allow Proxy Usage: NO<BR>
> >     Disable Alerting: NO<BR>
> >     Oversize Dir Length: 500<BR>
> >     Only inspect URI: NO<BR>
> >     Ascii: YES alert: NO<BR>
> >     Double Decoding: YES alert: YES<BR>
> >     %U Encoding: YES alert: YES<BR>
> >     Bare Byte: YES alert: YES<BR>
> >     Base36: OFF<BR>
> >     UTF 8: OFF<BR>
> >     IIS Unicode: YES alert: YES<BR>
> >     Multiple Slash: YES alert: NO<BR>
> >     IIS Backslash: YES alert: NO<BR>
> >     Directory Traversal: YES alert: NO<BR>
> >     Web Root Traversal: YES alert: YES<BR>
> >     Apache WhiteSpace: YES alert: YES<BR>
> >     IIS Delimiter: YES alert: YES<BR>
> >     IIS Unicode Map: GLOBAL IIS UNICODE MAP CONFIG<BR>
> >     Non-RFC Compliant Characters: NONE<BR>
> > rpc_decode arguments:<BR>
> >   Ports to decode RPC on: 111 32771<BR>
> >   alert_fragments: INACTIVE<BR>
> >   alert_large_fragments: ACTIVE<BR>
> >   alert_incomplete: ACTIVE<BR>
> >   alert_multiple_requests: ACTIVE<BR>
> > telnet_decode arguments:<BR>
> >   Ports to decode telnet on: 21 23 25 119<BR>
> > database: compiled support for ( mysql )<BR>
> > database: configured to use mysql<BR>
> > database:          user = snort<BR>
> > database: password is set<BR>
> > database: database name = snort<BR>
> > database:          host = localhost<BR>
> > database:   sensor name = 192.168.0.3<BR>
> > database:     sensor id = 1<BR>
> > database: schema version = 106<BR>
> > database: using the "log" facility<BR>
> > ERROR: ERROR /etc/snort/rules/bad-traffic.rules(12): Couldn't resolve<BR>
> > hostname HOME_NET<BR>
> > Fatal Error, Quitting..<BR>
> ><BR>
> > in my config home net is set to "any", my network is 192.168.0.1 -<BR>
> 192.168.0.10<BR>
> > i tryed 192.168.0.1/24.<BR>
> ><BR>
><BR>
><BR>
> -------------------------------------------------------<BR>
> This SF.Net email is sponsored by: IntelliVIEW -- Interactive Reporting<BR>
> Tool for open source databases. Create drag-&-drop reports. Save time<BR>
> by over 75%! Publish reports on the web. Export to DOC, XLS, RTF, etc.<BR>
> Download a FREE copy at <A HREF="http://www.intelliview.com/go/osdn_nl">http://www.intelliview.com/go/osdn_nl</A><BR>
> _______________________________________________<BR>
> Snort-users mailing list<BR>
> Snort-users@lists.sourceforge.net<BR>
> Go to this URL to change user options or unsubscribe:<BR>
> <A HREF="https://lists.sourceforge.net/lists/listinfo/snort-users">https://lists.sourceforge.net/lists/listinfo/snort-users</A><BR>
> Snort-users list archive:<BR>
> <A HREF="http://www.geocrawler.com/redir-sf.php3?list=snort-users">http://www.geocrawler.com/redir-sf.php3?list=snort-users</A><BR>
> Sent: Tue Feb 01 20:32:51 2005<BR>
> Subject: [Snort-users] Re: Snort Error - Couldn't resolve hostname HOME_NET<BR>
><BR>
> Here is the portion of my snort.conf where home net is defined<BR>
><BR>
> var HOME_NET any<BR>
><BR>
> # Set up the external network addresses as well.  A good start may be "any"<BR>
> var EXTERNAL_NET !HOME_NET<BR>
><BR>
><BR>
> i have tryed 192.168.0.1 ( the ip of the box ) also i have tryed<BR>
> 192.168.0.1/24<BR>
><BR>
><BR>
><BR>
><BR>
> On Tue, 1 Feb 2005 18:01:38 -0800, Darksun8 <drksun@...11827...> wrote:<BR>
> > [root@...274... snort]# snort -c /etc/snort/snort.conf &<BR>
> > [1] 3249<BR>
> > [root@...274... snort]# Running in IDS mode<BR>
> > Log directory = /var/log/snort<BR>
> ><BR>
> > Initializing Network Interface eth0<BR>
> ><BR>
> >       --== Initializing Snort ==--<BR>
> > Initializing Output Plugins!<BR>
> > Decoding Ethernet on interface eth0<BR>
> > Initializing Preprocessors!<BR>
> > Initializing Plug-ins!<BR>
> > Parsing Rules file /etc/snort/snort.conf<BR>
> ><BR>
> > +++++++++++++++++++++++++++++++++++++++++++++++++++<BR>
> > Initializing rule chains...<BR>
> > ,-----------[Flow Config]----------------------<BR>
> > | Stats Interval:  0<BR>
> > | Hash Method:     2<BR>
> > | Memcap:          10485760<BR>
> > | Rows  :          4099<BR>
> > | Overhead Bytes:  16400(%0.16)<BR>
> > `----------------------------------------------<BR>
> > No arguments to frag2 directive, setting defaults to:<BR>
> >   Fragment timeout: 60 seconds<BR>
> >   Fragment memory cap: 4194304 bytes<BR>
> >   Fragment min_ttl:   0<BR>
> >   Fragment ttl_limit: 5<BR>
> >   Fragment Problems: 0<BR>
> >   Self preservation threshold: 500<BR>
> >   Self preservation period: 90<BR>
> >   Suspend threshold: 1000<BR>
> >   Suspend period: 30<BR>
> > Stream4 config:<BR>
> >   Stateful inspection: ACTIVE<BR>
> >   Session statistics: INACTIVE<BR>
> >   Session timeout: 30 seconds<BR>
> >   Session memory cap: 8388608 bytes<BR>
> >   State alerts: INACTIVE<BR>
> >   Evasion alerts: INACTIVE<BR>
> >   Scan alerts: INACTIVE<BR>
> >   Log Flushed Streams: INACTIVE<BR>
> >   MinTTL: 1<BR>
> >   TTL Limit: 5<BR>
> >   Async Link: 0<BR>
> >   State Protection: 0<BR>
> >   Self preservation threshold: 50<BR>
> >   Self preservation period: 90<BR>
> >   Suspend threshold: 200<BR>
> >   Suspend period: 30<BR>
> > Stream4_reassemble config:<BR>
> >   Server reassembly: INACTIVE<BR>
> >   Client reassembly: ACTIVE<BR>
> >   Reassembler alerts: ACTIVE<BR>
> >   Zero out flushed packets: INACTIVE<BR>
> >   flush_data_diff_size: 500<BR>
> >   Ports: 21 23 25 53 80 110 111 143 513 1433<BR>
> >   Emergency Ports: 21 23 25 53 80 110 111 143 513 1433<BR>
> > HttpInspect Config:<BR>
> >   GLOBAL CONFIG<BR>
> >     Max Pipeline Requests:    0<BR>
> >     Inspection Type:          STATELESS<BR>
> >     Detect Proxy Usage:       NO<BR>
> >     IIS Unicode Map Filename: /etc/snort/unicode.map<BR>
> >     IIS Unicode Map Codepage: 1252<BR>
> >   DEFAULT SERVER CONFIG:<BR>
> >     Ports: 80 8080 8180<BR>
> >     Flow Depth: 300<BR>
> >     Max Chunk Length: 500000<BR>
> >     Inspect Pipeline Requests: YES<BR>
> >     URI Discovery Strict Mode: NO<BR>
> >     Allow Proxy Usage: NO<BR>
> >     Disable Alerting: NO<BR>
> >     Oversize Dir Length: 500<BR>
> >     Only inspect URI: NO<BR>
> >     Ascii: YES alert: NO<BR>
> >     Double Decoding: YES alert: YES<BR>
> >     %U Encoding: YES alert: YES<BR>
> >     Bare Byte: YES alert: YES<BR>
> >     Base36: OFF<BR>
> >     UTF 8: OFF<BR>
> >     IIS Unicode: YES alert: YES<BR>
> >     Multiple Slash: YES alert: NO<BR>
> >     IIS Backslash: YES alert: NO<BR>
> >     Directory Traversal: YES alert: NO<BR>
> >     Web Root Traversal: YES alert: YES<BR>
> >     Apache WhiteSpace: YES alert: YES<BR>
> >     IIS Delimiter: YES alert: YES<BR>
> >     IIS Unicode Map: GLOBAL IIS UNICODE MAP CONFIG<BR>
> >     Non-RFC Compliant Characters: NONE<BR>
> > rpc_decode arguments:<BR>
> >   Ports to decode RPC on: 111 32771<BR>
> >   alert_fragments: INACTIVE<BR>
> >   alert_large_fragments: ACTIVE<BR>
> >   alert_incomplete: ACTIVE<BR>
> >   alert_multiple_requests: ACTIVE<BR>
> > telnet_decode arguments:<BR>
> >   Ports to decode telnet on: 21 23 25 119<BR>
> > database: compiled support for ( mysql )<BR>
> > database: configured to use mysql<BR>
> > database:          user = snort<BR>
> > database: password is set<BR>
> > database: database name = snort<BR>
> > database:          host = localhost<BR>
> > database:   sensor name = 192.168.0.3<BR>
> > database:     sensor id = 1<BR>
> > database: schema version = 106<BR>
> > database: using the "log" facility<BR>
> > ERROR: ERROR /etc/snort/rules/bad-traffic.rules(12): Couldn't resolve<BR>
> > hostname HOME_NET<BR>
> > Fatal Error, Quitting..<BR>
> ><BR>
> > in my config home net is set to "any", my network is 192.168.0.1 -<BR>
> 192.168.0.10<BR>
> > i tryed 192.168.0.1/24.<BR>
> ><BR>
><BR>
><BR>
> -------------------------------------------------------<BR>
> This SF.Net email is sponsored by: IntelliVIEW -- Interactive Reporting<BR>
> Tool for open source databases. Create drag-&-drop reports. Save time<BR>
> by over 75%! Publish reports on the web. Export to DOC, XLS, RTF, etc.<BR>
> Download a FREE copy at <A HREF="http://www.intelliview.com/go/osdn_nl">http://www.intelliview.com/go/osdn_nl</A><BR>
> _______________________________________________<BR>
> Snort-users mailing list<BR>
> Snort-users@lists.sourceforge.net<BR>
> Go to this URL to change user options or unsubscribe:<BR>
> <A HREF="https://lists.sourceforge.net/lists/listinfo/snort-users">https://lists.sourceforge.net/lists/listinfo/snort-users</A><BR>
> Snort-users list archive:<BR>
> <A HREF="http://www.geocrawler.com/redir-sf.php3?list=snort-users">http://www.geocrawler.com/redir-sf.php3?list=snort-users</A><BR>
><BR>
><BR>
><BR>
</FONT>
</P>

</BODY>
</HTML>