Cool. Thanks for the info. <div><br></div><div>Im curious now so I will take a look and make an IPS build.</div><div><br></div><div>// Joel <br><br><div class="gmail_quote">On Fri, Aug 7, 2009 at 1:42 PM, Russ Combs <span dir="ltr"><<a href="mailto:rcombs@...1935...">rcombs@...1935...</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">Comments below ...<br><br><div class="gmail_quote"><div class="im">On Fri, Aug 7, 2009 at 4:08 PM, Joel Ebrahimi <span dir="ltr"><<a href="mailto:joel.ebrahimi@...11827..." target="_blank">joel.ebrahimi@...11827...</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="border-left:1px solid rgb(204, 204, 204);margin:0pt 0pt 0pt 0.8ex;padding-left:1ex">
I have always been curious how this works. Working for Bivio Networks I know that there is a Snort IPS that Sourcefire uses on our platform but I was never sure how they integrated it. Since our performance relies on pcap and since our pcap is modified to drop packets I had assumed it was all handled through pcap.<div>


<br></div><div>So does --enable-inline need to be used at all to initialize any of the drop structures or mechanisms?</div></blockquote></div><div><br>That depends on what you are trying to do:<br><br>* use --enable-inline for ipq.<br>

* use --enable-inline --enable-ipfw for ipfw.<br>* otherwise, if you have a modified libpcap, the drop is handled there.<br>* otherwise, the drop doesn't take place.<br><br></div><div class="im"><blockquote class="gmail_quote" style="border-left:1px solid rgb(204, 204, 204);margin:0pt 0pt 0pt 0.8ex;padding-left:1ex">

<br><div>Would the keyword 'drop' still be able to be used from the rules just like the -Q option is allowed ?</div></blockquote></div><div><br>Using -Q and a drop action in a rule is perfectly fine without the use of --enable-inline with a modified<br>


libpcap. </div><div class="im"><blockquote class="gmail_quote" style="border-left:1px solid rgb(204, 204, 204);margin:0pt 0pt 0pt 0.8ex;padding-left:1ex"><div></div>
<div><br></div><div>I don't actually see any of the Bivio specific API calls to drop packets. I assuming this is not released in the general Snort release. Is this code available or is it licensed differently then the available public Snort?</div>

</blockquote></div><div><br>There are no calls to non-standard libpcap API functions in Snort.  
Everything to do this is there in the snort code base and the license is the same.  There are a few global variables that need to be shared between the pcap library and Snort.  Have a look at inline.c for details. <br><br>

</div><div><div></div><div class="h5"><blockquote class="gmail_quote" style="border-left:1px solid rgb(204, 204, 204);margin:0pt 0pt 0pt 0.8ex;padding-left:1ex"><div></div>
<div><br></div><div>Thanks,</div><div><br></div><font color="#888888"><div>// Joel </div></font><div><div></div><div><div><br><div class="gmail_quote">On Wed, Aug 5, 2009 at 8:48 AM, Russ Combs <span dir="ltr"><<a href="mailto:rcombs@...1935..." target="_blank">rcombs@...1935...</a>></span> wrote:<br>


<blockquote class="gmail_quote" style="border-left:1px solid rgb(204, 204, 204);margin:0pt 0pt 0pt 0.8ex;padding-left:1ex">Hey Justin,<br><br>Thanks for the patch.  The -Q option, and the inline implementation in general, is a little confusing.  However, there is no warning without --enable-inline because it allows Snort to be deployed inline using 3rd party pcap implementations that don't require ipq or ipfw.<br>



<br>Compounding that, the help for -Q is only output for ipq builds.  The help will be addressed in an upcoming release.<br><br>Russ<br><br><div class="gmail_quote"><div><div></div><div>On Wed, Aug 5, 2009 at 8:11 AM, justin joseph <span dir="ltr"><<a href="mailto:justinjoseph007@...13704......" target="_blank">justinjoseph007@...11827...</a>></span> wrote:<br>



</div></div><blockquote class="gmail_quote" style="border-left:1px solid rgb(204, 204, 204);margin:0pt 0pt 0pt 0.8ex;padding-left:1ex"><div><div></div><div>Hi<br>
<br>
Were trying to configure snort-inline on Ubuntu hardy (snort version<br>
2.7.0) for some days.<br>
Today figured out by looking at the code that even if snort was not<br>
compiled with --enable-inline<br>
option, it was seemingly running with the -Q option(drop, sdrop,<br>
reject won't work off course)<br>
<br>
IMHO this confuses a newbie user like me because if snort was not<br>
compiled enabling<br>
inline mode then it is supposed to print error and abort if user tries<br>
to run with the -Q option.<br>
<br>
Attached patch against 2.8.4(changes in snort.c) or something like<br>
that would be nice IMHO.<br>
<br>
thank you<br>
<font color="#888888">Justin<br>
</font><br></div></div>------------------------------------------------------------------------------<br>
Let Crystal Reports handle the reporting - Free Crystal Reports 2008 30-Day<br>
trial. Simplify your report design, integration and deployment - and focus on<br>
what you do best, core application coding. Discover what's new with<br>
Crystal Reports now.  <a href="http://p.sf.net/sfu/bobj-july" target="_blank">http://p.sf.net/sfu/bobj-july</a><br>_______________________________________________<br>
Snort-users mailing list<br>
<a href="mailto:Snort-users@lists.sourceforge.net" target="_blank">Snort-users@lists.sourceforge.net</a><br>
Go to this URL to change user options or unsubscribe:<br>
<a href="https://lists.sourceforge.net/lists/listinfo/snort-users%0ASnort-users" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-users<br>
Snort-users</a> list archive:<br>
<a href="http://www.geocrawler.com/redir-sf.php3?list=snort-users" target="_blank">http://www.geocrawler.com/redir-sf.php3?list=snort-users</a><br></blockquote></div><br>
<br>------------------------------------------------------------------------------<br>
Let Crystal Reports handle the reporting - Free Crystal Reports 2008 30-Day<br>
trial. Simplify your report design, integration and deployment - and focus on<br>
what you do best, core application coding. Discover what's new with<br>
Crystal Reports now.  <a href="http://p.sf.net/sfu/bobj-july" target="_blank">http://p.sf.net/sfu/bobj-july</a><br>_______________________________________________<br>
Snort-users mailing list<br>
<a href="mailto:Snort-users@lists.sourceforge.net" target="_blank">Snort-users@lists.sourceforge.net</a><br>
Go to this URL to change user options or unsubscribe:<br>
<a href="https://lists.sourceforge.net/lists/listinfo/snort-users%0ASnort-users" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-users<br>
Snort-users</a> list archive:<br>
<a href="http://www.geocrawler.com/redir-sf.php3?list=snort-users" target="_blank">http://www.geocrawler.com/redir-sf.php3?list=snort-users</a><br></blockquote></div><br></div>
</div></div></blockquote></div></div></div><br>
</blockquote></div><br></div>