<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML><HEAD>
<META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=us-ascii">
<TITLE>Message</TITLE>

<META content="MSHTML 6.00.2900.2604" name=GENERATOR></HEAD>
<BODY>
<DIV><SPAN class=031131914-10022005><FONT face=Arial color=#0000ff size=2>I 
wonder if you have the rules directory in the correct place.</FONT></SPAN></DIV>
<DIV><SPAN class=031131914-10022005><FONT face=Arial color=#0000ff size=2>you 
should have:</FONT></SPAN></DIV>
<DIV><SPAN class=031131914-10022005><FONT face=Arial color=#0000ff 
size=2>/opt/snort/etc</FONT></SPAN></DIV>
<DIV><SPAN class=031131914-10022005><FONT face=Arial color=#0000ff 
size=2>/opt/snort/rules</FONT></SPAN></DIV>
<DIV><SPAN class=031131914-10022005><FONT face=Arial color=#0000ff 
size=2></FONT></SPAN> </DIV>
<DIV><SPAN class=031131914-10022005><FONT face=Arial color=#0000ff size=2>in the 
snort.conf file:<SPAN class=031131914-10022005><FONT size=1><FONT 
face="Times New Roman" color=#000000> </FONT></FONT></SPAN></FONT></SPAN></DIV>
<DIV><SPAN class=031131914-10022005><FONT><SPAN class=031131914-10022005><FONT 
face=Arial color=#0000ff size=2># Path to your rules files (this can be a 
relative path)</FONT></DIV>
<P><FONT face=Arial color=#0000ff size=2>var RULE_PATH ../rules</FONT></P>
<P></SPAN></FONT></SPAN><SPAN class=031131914-10022005><FONT face=Arial 
color=#0000ff size=2>this goes up one directory from etc to rules. if you copied 
the rules to the etc directory then change the RULES_PATH to reflect 
this.</FONT></SPAN></P>
<P><SPAN class=031131914-10022005><FONT face=Arial color=#0000ff 
size=2></FONT></SPAN> </P>
<DIV><SPAN class=031131914-10022005><FONT size=1>
<P><FONT size=2></FONT> </P></FONT></SPAN></DIV>
<BLOCKQUOTE dir=ltr style="MARGIN-RIGHT: 0px">
  <DIV></DIV>
  <DIV class=OutlookMessageHeader lang=en-us dir=ltr align=left><FONT 
  face=Tahoma size=2>-----Original Message-----<BR><B>From:</B> 
  snort-users-admin@lists.sourceforge.net 
  [mailto:snort-users-admin@lists.sourceforge.net] <B>On Behalf Of </B>Plantier, 
  Spencer<BR><B>Sent:</B> 10 February 2005 14:17<BR><B>To:</B> 
  snort-users@lists.sourceforge.net<BR><B>Subject:</B> [Snort-users] start snort 
  in IDS mode<BR><BR></FONT></DIV><!-- Converted from text/rtf format -->
  <P align=left><SPAN lang=en-us><FONT face=Arial size=2>I got IDS to start but 
  I got the following output:</FONT></SPAN></P>
  <P align=left><SPAN lang=en-us><FONT face=Arial size=2>opt/snort/bin/snort -c 
  /opt/snort/etc/snort.conf -i hme0</FONT></SPAN></P>
  <P align=left><SPAN lang=en-us><FONT face=Arial size=2>Running in IDS 
  mode</FONT></SPAN></P>
  <P align=left><SPAN lang=en-us><FONT face=Arial size=2>Initializing Network 
  Interface hme0</FONT></SPAN></P>
  <P align=left><SPAN lang=en-us><FONT face=Arial 
  size=2>        --== Initializing Snort 
  ==--</FONT></SPAN></P>
  <P align=left><SPAN lang=en-us><FONT face=Arial size=2>Initializing Output 
  Plugins!</FONT></SPAN></P>
  <P align=left><SPAN lang=en-us><FONT face=Arial size=2>Decoding Ethernet on 
  interface hme0</FONT></SPAN></P>
  <P align=left><SPAN lang=en-us><FONT face=Arial size=2>Initializing 
  Preprocessors!</FONT></SPAN></P>
  <P align=left><SPAN lang=en-us><FONT face=Arial size=2>Initializing 
  Plug-ins!</FONT></SPAN></P>
  <P align=left><SPAN lang=en-us><FONT face=Arial size=2>Parsing Rules file 
  /opt/snort/etc/snort.conf</FONT></SPAN></P>
  <P align=left><SPAN lang=en-us><FONT face=Arial 
  size=2>+++++++++++++++++++++++++++++++++++++++++++++++++++</FONT></SPAN></P>
  <P align=left><SPAN lang=en-us><FONT face=Arial size=2>Initializing rule 
  chains...</FONT></SPAN></P>
  <P align=left><SPAN lang=en-us><FONT face=Arial size=2>,-----------[Flow 
  Config]----------------------</FONT></SPAN></P>
  <P align=left><SPAN lang=en-us><FONT face=Arial size=2>| Stats Interval:  
  0</FONT></SPAN></P>
  <P align=left><SPAN lang=en-us><FONT face=Arial size=2>| Hash 
  Method:     2</FONT></SPAN></P>
  <P align=left><SPAN lang=en-us><FONT face=Arial size=2>| 
  Memcap:          
  10485760</FONT></SPAN></P>
  <P align=left><SPAN lang=en-us><FONT face=Arial size=2>| Rows  
  :          4099</FONT></SPAN></P>
  <P align=left><SPAN lang=en-us><FONT face=Arial size=2>| Overhead Bytes:  
  16400(%0.16)</FONT></SPAN></P>
  <P align=left><SPAN lang=en-us><FONT face=Arial 
  size=2>`----------------------------------------------</FONT></SPAN></P>
  <P align=left><SPAN lang=en-us><FONT face=Arial size=2>No arguments to frag2 
  directive, setting defaults to:</FONT></SPAN></P>
  <P align=left><SPAN lang=en-us><FONT face=Arial size=2>    
  Fragment timeout: 60 seconds</FONT></SPAN></P>
  <P align=left><SPAN lang=en-us><FONT face=Arial size=2>    
  Fragment memory cap: 4194304 bytes</FONT></SPAN></P>
  <P align=left><SPAN lang=en-us><FONT face=Arial size=2>    
  Fragment min_ttl:   0</FONT></SPAN></P>
  <P align=left><SPAN lang=en-us><FONT face=Arial size=2>    
  Fragment ttl_limit: 5</FONT></SPAN></P>
  <P align=left><SPAN lang=en-us><FONT face=Arial size=2>    
  Fragment Problems: 0</FONT></SPAN></P>
  <P align=left><SPAN lang=en-us><FONT face=Arial size=2>    Self 
  preservation threshold: 500</FONT></SPAN></P>
  <P align=left><SPAN lang=en-us><FONT face=Arial size=2>    Self 
  preservation period: 90</FONT></SPAN></P>
  <P align=left><SPAN lang=en-us><FONT face=Arial size=2>    
  Suspend threshold: 1000</FONT></SPAN></P>
  <P align=left><SPAN lang=en-us><FONT face=Arial size=2>    
  Suspend period: 30</FONT></SPAN></P>
  <P align=left><SPAN lang=en-us><FONT face=Arial size=2>Stream4 
  config:</FONT></SPAN></P>
  <P align=left><SPAN lang=en-us><FONT face=Arial size=2>    
  Stateful inspection: ACTIVE</FONT></SPAN></P>
  <P align=left><SPAN lang=en-us><FONT face=Arial size=2>    
  Session statistics: INACTIVE</FONT></SPAN></P>
  <P align=left><SPAN lang=en-us><FONT face=Arial size=2>    
  Session timeout: 30 seconds</FONT></SPAN></P>
  <P align=left><SPAN lang=en-us><FONT face=Arial size=2>    
  Session memory cap: 8388608 bytes</FONT></SPAN></P>
  <P align=left><SPAN lang=en-us><FONT face=Arial size=2>    
  State alerts: INACTIVE</FONT></SPAN></P>
  <P align=left><SPAN lang=en-us><FONT face=Arial size=2>    
  Evasion alerts: INACTIVE</FONT></SPAN></P>
  <P align=left><SPAN lang=en-us><FONT face=Arial size=2>    Scan 
  alerts: INACTIVE</FONT></SPAN></P>
  <P align=left><SPAN lang=en-us><FONT face=Arial size=2>    Log 
  Flushed Streams: INACTIVE</FONT></SPAN></P>
  <P align=left><SPAN lang=en-us><FONT face=Arial size=2>    
  MinTTL: 1</FONT></SPAN></P>
  <P align=left><SPAN lang=en-us><FONT face=Arial size=2>    TTL 
  Limit: 5</FONT></SPAN></P>
  <P align=left><SPAN lang=en-us><FONT face=Arial size=2>    
  Async Link: 0</FONT></SPAN></P>
  <P align=left><SPAN lang=en-us><FONT face=Arial size=2>    
  State Protection: 0</FONT></SPAN></P>
  <P align=left><SPAN lang=en-us><FONT face=Arial size=2>    Self 
  preservation threshold: 50</FONT></SPAN></P>
  <P align=left><SPAN lang=en-us><FONT face=Arial size=2>    Self 
  preservation period: 90</FONT></SPAN></P>
  <P align=left><SPAN lang=en-us><FONT face=Arial size=2>    
  Suspend threshold: 200</FONT></SPAN></P>
  <P align=left><SPAN lang=en-us><FONT face=Arial size=2>    
  Suspend period: 30</FONT></SPAN></P>
  <P align=left><SPAN lang=en-us><FONT face=Arial size=2>    
  Enforce TCP State: INACTIVE</FONT></SPAN></P>
  <P align=left><SPAN lang=en-us><FONT face=Arial size=2>    
  Midstream Drop Alerts: INACTIVE</FONT></SPAN></P>
  <P align=left><SPAN lang=en-us><FONT face=Arial size=2>Stream4_reassemble 
  config:</FONT></SPAN></P>
  <P align=left><SPAN lang=en-us><FONT face=Arial size=2>    
  Server reassembly: INACTIVE</FONT></SPAN></P>
  <P align=left><SPAN lang=en-us><FONT face=Arial size=2>    
  Client reassembly: ACTIVE</FONT></SPAN></P>
  <P align=left><SPAN lang=en-us><FONT face=Arial size=2>    
  Reassembler alerts: ACTIVE</FONT></SPAN></P>
  <P align=left><SPAN lang=en-us><FONT face=Arial size=2>    Zero 
  out flushed packets: INACTIVE</FONT></SPAN></P>
  <P align=left><SPAN lang=en-us><FONT face=Arial size=2>    
  flush_data_diff_size: 500</FONT></SPAN></P>
  <P align=left><SPAN lang=en-us><FONT face=Arial size=2>    
  Ports: 21 23 25 53 80 110 111 143 513 1433 </FONT></SPAN></P>
  <P align=left><SPAN lang=en-us><FONT face=Arial size=2>    
  Emergency Ports: 21 23 25 53 80 110 111 143 513 1433 </FONT></SPAN></P>
  <P align=left><SPAN lang=en-us><FONT face=Arial size=2>HttpInspect 
  Config:</FONT></SPAN></P>
  <P align=left><SPAN lang=en-us><FONT face=Arial size=2>    
  GLOBAL CONFIG</FONT></SPAN></P>
  <P align=left><SPAN lang=en-us><FONT face=Arial 
  size=2>      Max Pipeline Requests:    
  0</FONT></SPAN></P>
  <P align=left><SPAN lang=en-us><FONT face=Arial 
  size=2>      Inspection 
  Type:          
  STATELESS</FONT></SPAN></P>
  <P align=left><SPAN lang=en-us><FONT face=Arial 
  size=2>      Detect Proxy 
  Usage:       NO</FONT></SPAN></P>
  <P align=left><SPAN lang=en-us><FONT face=Arial 
  size=2>      IIS Unicode Map Filename: 
  /opt/snort/etc/unicode.map</FONT></SPAN></P>
  <P align=left><SPAN lang=en-us><FONT face=Arial 
  size=2>      IIS Unicode Map Codepage: 
  1252</FONT></SPAN></P>
  <P align=left><SPAN lang=en-us><FONT face=Arial size=2>    
  DEFAULT SERVER CONFIG:</FONT></SPAN></P>
  <P align=left><SPAN lang=en-us><FONT face=Arial 
  size=2>      Ports: 80 8080 8180 </FONT></SPAN></P>
  <P align=left><SPAN lang=en-us><FONT face=Arial 
  size=2>      Flow Depth: 300</FONT></SPAN></P>
  <P align=left><SPAN lang=en-us><FONT face=Arial 
  size=2>      Max Chunk Length: 
  500000</FONT></SPAN></P>
  <P align=left><SPAN lang=en-us><FONT face=Arial 
  size=2>      Inspect Pipeline Requests: 
  YES</FONT></SPAN></P>
  <P align=left><SPAN lang=en-us><FONT face=Arial 
  size=2>      URI Discovery Strict Mode: 
  NO</FONT></SPAN></P>
  <P align=left><SPAN lang=en-us><FONT face=Arial 
  size=2>      Allow Proxy Usage: NO</FONT></SPAN></P>
  <P align=left><SPAN lang=en-us><FONT face=Arial 
  size=2>      Disable Alerting: NO</FONT></SPAN></P>
  <P align=left><SPAN lang=en-us><FONT face=Arial 
  size=2>      Oversize Dir Length: 
  500</FONT></SPAN></P>
  <P align=left><SPAN lang=en-us><FONT face=Arial 
  size=2>      Only inspect URI: NO</FONT></SPAN></P>
  <P align=left><SPAN lang=en-us><FONT face=Arial 
  size=2>      Ascii: YES alert: NO</FONT></SPAN></P>
  <P align=left><SPAN lang=en-us><FONT face=Arial 
  size=2>      Double Decoding: YES alert: 
  YES</FONT></SPAN></P>
  <P align=left><SPAN lang=en-us><FONT face=Arial 
  size=2>      %U Encoding: YES alert: 
  YES</FONT></SPAN></P>
  <P align=left><SPAN lang=en-us><FONT face=Arial 
  size=2>      Bare Byte: YES alert: 
  YES</FONT></SPAN></P>
  <P align=left><SPAN lang=en-us><FONT face=Arial 
  size=2>      Base36: OFF</FONT></SPAN></P>
  <P align=left><SPAN lang=en-us><FONT face=Arial 
  size=2>      UTF 8: OFF</FONT></SPAN></P>
  <P align=left><SPAN lang=en-us><FONT face=Arial 
  size=2>      IIS Unicode: YES alert: 
  YES</FONT></SPAN></P>
  <P align=left><SPAN lang=en-us><FONT face=Arial 
  size=2>      Multiple Slash: YES alert: 
  NO</FONT></SPAN></P>
  <P align=left><SPAN lang=en-us><FONT face=Arial 
  size=2>      IIS Backslash: YES alert: 
  NO</FONT></SPAN></P>
  <P align=left><SPAN lang=en-us><FONT face=Arial 
  size=2>      Directory Traversal: YES alert: 
  NO</FONT></SPAN></P>
  <P align=left><SPAN lang=en-us><FONT face=Arial 
  size=2>      Web Root Traversal: YES alert: 
  YES</FONT></SPAN></P>
  <P align=left><SPAN lang=en-us><FONT face=Arial 
  size=2>      Apache WhiteSpace: YES alert: 
  NO</FONT></SPAN></P>
  <P align=left><SPAN lang=en-us><FONT face=Arial 
  size=2>      IIS Delimiter: YES alert: 
  NO</FONT></SPAN></P>
  <P align=left><SPAN lang=en-us><FONT face=Arial 
  size=2>      IIS Unicode Map: GLOBAL IIS UNICODE MAP 
  CONFIG</FONT></SPAN></P>
  <P align=left><SPAN lang=en-us><FONT face=Arial 
  size=2>      Non-RFC Compliant Characters: 
  NONE</FONT></SPAN></P>
  <P align=left><SPAN lang=en-us><FONT face=Arial size=2>rpc_decode 
  arguments:</FONT></SPAN></P>
  <P align=left><SPAN lang=en-us><FONT face=Arial size=2>    
  Ports to decode RPC on: 111 32771 </FONT></SPAN></P>
  <P align=left><SPAN lang=en-us><FONT face=Arial size=2>    
  alert_fragments: INACTIVE</FONT></SPAN></P>
  <P align=left><SPAN lang=en-us><FONT face=Arial size=2>    
  alert_large_fragments: ACTIVE</FONT></SPAN></P>
  <P align=left><SPAN lang=en-us><FONT face=Arial size=2>    
  alert_incomplete: ACTIVE</FONT></SPAN></P>
  <P align=left><SPAN lang=en-us><FONT face=Arial size=2>    
  alert_multiple_requests: ACTIVE</FONT></SPAN></P>
  <P align=left><SPAN lang=en-us><FONT face=Arial size=2>telnet_decode 
  arguments:</FONT></SPAN></P>
  <P align=left><SPAN lang=en-us><FONT face=Arial size=2>    
  Ports to decode telnet on: 21 23 25 119 </FONT></SPAN></P>
  <P align=left><SPAN lang=en-us><FONT face=Arial size=2>Portscan Detection 
  Config:</FONT></SPAN></P>
  <P align=left><SPAN lang=en-us><FONT face=Arial size=2>    
  Detect Protocols:  TCP UDP ICMP IP</FONT></SPAN></P>
  <P align=left><SPAN lang=en-us><FONT face=Arial size=2>    
  Detect Scan Type:  portscan portsweep decoy_portscan 
  distributed_portscan</FONT></SPAN></P>
  <P align=left><SPAN lang=en-us><FONT face=Arial size=2>    
  Sensitivity Level: Low</FONT></SPAN></P>
  <P align=left><SPAN lang=en-us><FONT face=Arial size=2>    
  Memcap (in bytes): 10000000</FONT></SPAN></P>
  <P align=left><SPAN lang=en-us><FONT face=Arial size=2>    
  Number of Nodes:   36900</FONT></SPAN></P>
  <P align=left><SPAN lang=en-us><FONT face=Arial size=2>ERROR: 
  /opt/snort/etc/../rules(1) => NULL rule type</FONT></SPAN></P>
  <P align=left><SPAN lang=en-us><FONT face=Arial size=2>Fatal Error, 
  Quitting..</FONT></SPAN></P>
  <P align=left><SPAN lang=en-us><FONT face=Arial size=2>#</FONT></SPAN><SPAN 
  lang=en-us></SPAN><SPAN lang=en-us></SPAN></P></BLOCKQUOTE></BODY></HTML>