<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML><HEAD>
<META http-equiv=Content-Type content="text/html; charset=us-ascii">
<META content="MSHTML 6.00.5730.11" name=GENERATOR></HEAD>
<BODY>
<DIV><SPAN class=693403210-16012007><FONT face=Arial size=2>Hi 
Group</FONT></SPAN></DIV>
<DIV><SPAN class=693403210-16012007><FONT face=Arial 
size=2></FONT></SPAN> </DIV>
<DIV><SPAN class=693403210-16012007><FONT face=Arial size=2>I have just finished 
setting up snort console box with two snort sensors running on FreeBSD and 
all seems to be working perfectly!</FONT></SPAN></DIV>
<DIV><SPAN class=693403210-16012007><FONT face=Arial size=2></FONT></SPAN><SPAN 
class=693403210-16012007><FONT face=Arial size=2></FONT></SPAN> </DIV>
<DIV><SPAN class=693403210-16012007><FONT face=Arial size=2>However I would be 
grateful if somebody would be able to help me with one 
question:</FONT></SPAN></DIV>
<DIV><SPAN class=693403210-16012007><FONT face=Arial 
size=2></FONT></SPAN> </DIV>
<DIV><SPAN class=693403210-16012007><FONT face=Arial size=2>Firstly here is a 
quick rundown of my LAN.</FONT></SPAN></DIV>
<DIV><SPAN class=693403210-16012007><FONT face=Arial 
size=2></FONT></SPAN> </DIV>
<DIV><SPAN class=693403210-16012007><FONT face=Arial size=2>I have a FreeBSD-6.0 
bridged firewall with three interfaces. The first two are configured in a bridge 
(passed through IPFW) with no IP addresses and the third is a management 
interface with one public IP Assigned. </FONT></SPAN></DIV>
<DIV><SPAN class=693403210-16012007><FONT face=Arial 
size=2></FONT></SPAN> </DIV>
<DIV><SPAN class=693403210-16012007><FONT face=Arial size=2>One side of the 
bridge connects into a DSL router and the other 
side & management interface connect into a HUB (Not 
Switch) where various other FreeBSD systems with public IPs 
sit:</FONT></SPAN></DIV>
<DIV><SPAN class=693403210-16012007><FONT face=Arial 
size=2></FONT></SPAN> </DIV>
<DIV><SPAN class=693403210-16012007><FONT face=Arial size=2>1]    
POSTFIX SMTP</FONT></SPAN></DIV>
<DIV><SPAN class=693403210-16012007><FONT face=Arial size=2>2]    
PRIMARY DNS </FONT></SPAN></DIV>
<DIV><SPAN class=693403210-16012007><FONT face=Arial size=2>3]    
SNORT CONSOLE</FONT></SPAN></DIV>
<DIV><SPAN class=693403210-16012007><FONT face=Arial size=2>4]    
NATD SERVER</FONT></SPAN></DIV>
<DIV><SPAN class=693403210-16012007><FONT face=Arial 
size=2></FONT></SPAN> </DIV>
<DIV><SPAN class=693403210-16012007><FONT face=Arial size=2>I currently have a 
two sensors running on both sides of the NATD Server which logs traffic both on 
my private LAN and firewalled public side; this works perfectly, 
however its only providing me information on my trusted network and I 
still have no idea what's happening on the untrusted side.</FONT></SPAN></DIV>
<DIV><SPAN class=693403210-16012007><FONT face=Arial 
size=2></FONT></SPAN> </DIV>
<DIV><SPAN class=693403210-16012007><FONT face=Arial size=2>So this leads me 
onto my question:</FONT></SPAN></DIV>
<DIV><SPAN class=693403210-16012007><FONT face=Arial 
size=2></FONT></SPAN> </DIV>
<DIV><SPAN class=693403210-16012007><FONT face=Arial size=2>Is it possible to 
install a SNORT sensor on the internet facing interface of my FreeBSD Bridge and 
if I did would it capture packets before they are passed through IPFW? Or, as I 
suspect would it be better if I install a TAP between my router and the 
internet facing interface?</FONT></SPAN></DIV>
<DIV><SPAN class=693403210-16012007><FONT face=Arial 
size=2></FONT></SPAN> </DIV>
<DIV><SPAN class=693403210-16012007><FONT face=Arial size=2>Hope somebody can 
help & many thanks in advance.</FONT></SPAN></DIV>
<DIV><SPAN class=693403210-16012007><FONT face=Arial 
size=2></FONT></SPAN> </DIV>
<DIV><SPAN class=693403210-16012007><FONT face=Arial 
size=2>Regards</FONT></SPAN></DIV>
<DIV><SPAN class=693403210-16012007><FONT face=Arial 
size=2>Athena</FONT></SPAN></DIV>
<DIV><SPAN class=693403210-16012007><FONT face=Arial 
size=2></FONT></SPAN> </DIV>
<DIV><SPAN class=693403210-16012007><FONT face=Arial 
size=2></FONT></SPAN> </DIV>
<DIV><SPAN class=693403210-16012007><FONT face=Arial 
size=2></FONT></SPAN> </DIV></BODY></HTML>