<span class="Apple-style-span" style="font-family: monospace; font-size: medium; ">rmkml, <br><br>Please reply to all (cc'ing the Snort-Users list) when replying to a Snort-Users email?  Thank you.<br><br>J</span><br><br>
<div class="gmail_quote">On Mon, Feb 22, 2010 at 8:57 AM, Sharma, Ashish <span dir="ltr"><<a href="mailto:ashish.sharma3@...6440...">ashish.sharma3@...6440...</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">
Rmkml,<br>
<br>
Yes , but it's compiled for IDS mode only.<br>
<br>
With regards<br>
<div class="im">Ashish Sharma<br>
<br>
-----Original Message-----<br>
From: rmkml [mailto:<a href="mailto:rmkml@...953...">rmkml@...953...</a>]<br>
</div><div class="im">Sent: Monday, February 22, 2010 7:18 PM<br>
To: Sharma, Ashish<br>
Cc: <a href="mailto:rmkml@...953...">rmkml@...953...</a><br>
Subject: RE: [Snort-users] Unable to run Snort in IPS mode<br>
<br>
</div><div><div></div><div class="h5">ok thx you,<br>
do you have another snort binary on this host please?<br>
Regards<br>
Rmkml<br>
<br>
<br>
On Mon, 22 Feb 2010, Sharma, Ashish wrote:<br>
<br>
> Rmkml,<br>
><br>
> Please find attached my 'local.rules' file.<br>
><br>
> Thanks<br>
> Ashish Sharma<br>
><br>
> -----Original Message-----<br>
> From: rmkml [mailto:<a href="mailto:rmkml@...953...">rmkml@...953...</a>]<br>
> Sent: Monday, February 22, 2010 6:49 PM<br>
> To: Sharma, Ashish<br>
> Cc: <a href="mailto:rmkml@...953...">rmkml@...953...</a><br>
> Subject: RE: [Snort-users] Unable to run Snort in IPS mode<br>
><br>
> ok thx you Sharma,<br>
> could you send local.rules please?<br>
> Regards<br>
> Rmkml<br>
><br>
><br>
> On Mon, 22 Feb 2010, Sharma, Ashish wrote:<br>
><br>
>> Rmkml,<br>
>><br>
>> First of all thanks for helping.<br>
>><br>
>> I don't think there is any problem with command formatting or 'RULE_PATH' variable error.<br>
>><br>
>> Reason being that when I comment out the 'reject' and 'sdrop' rules from 'local.rules' file and only 'drop' rules are there, then 'Snort' is able to run fine and alerts are generated and logged.<br>

>><br>
>> For your reference my 'Snort.conf' is attached.<br>
>><br>
>> Thanks for helping again.<br>
>><br>
>> Ashish Sharma<br>
>><br>
>> -----Original Message-----<br>
>> From: rmkml [mailto:<a href="mailto:rmkml@...953...">rmkml@...8992...3...</a>]<br>
>> Sent: Monday, February 22, 2010 5:15 PM<br>
>> To: Sharma, Ashish<br>
>> Cc: <a href="mailto:rmkml@...953...">rmkml@...953...</a><br>
>> Subject: Re: [Snort-users] Unable to run Snort in IPS mode<br>
>><br>
>> Hi Sharma,<br>
>> you start snort with cmd line:<br>
>>  'snort -A console -Q -c /etc/snort /snort.conf -i eth1 -l /var/log/snort'<br>
>> please remove space like ... -c /etc/snort/snort.conf ...<br>
>> on your snort.conf, what is RULE_PATH variable contains please? or send<br>
>> snort.conf...<br>
>> Regards<br>
>> Rmkml<br>
>><br>
>><br>
>> On Mon, 22 Feb 2010, Sharma, Ashish wrote:<br>
>><br>
>>> Hi,<br>
>>><br>
>>> I have a fedora core 10 virtual machine running on a sun virtual box.<br>
>>><br>
>>> I am trying to run Snort on this machine in IPS mode.<br>
>>><br>
>>> I followed the following steps (I had already installed the prerequisites for Snort IPS):<br>
>>><br>
>>> 1. Downloaded 'snort-2.8.5.2.tar.gz'<br>
>>> 2. Extracted the binaries.<br>
>>> 3. did './configure --enable-inline'<br>
>>> 4. did 'make'<br>
>>> 5. did 'make install'<br>
>>> 6. copied snort rules and snort conf at appropriate location.<br>
>>> 7. executed the following command :<br>
>>> 'snort -A console -Q -c /etc/snort /snort.conf -i eth1 -l /var/log/snort'<br>
>>> 8. Snort launches with the traces :<br>
>>><br>
>>> Enabling inline operation<br>
>>> Running in IDS mode<br>
>>><br>
>>> --== Initializing Snort ==--<br>
>>> Initializing Output Plugins!<br>
>>> Initializing Preprocessors!<br>
>>> ..................................<br>
>>><br>
>>> Initializing rule chains...<br>
>>> ERROR: /etc/snortIDSMode/rules /local.rules(10 ) Unknown rule type: reject.<br>
>>> Fatal Error, Quitting..<br>
>>><br>
>>> 8. As you can see I have a test rule in local.rule that have a 'reject' rule in it but snort is not accepting it, same is the case for 'sdrop' rule also.<br>
>>><br>
>>> 9. What is the problem , please help!!!!!<br>
>>><br>
>>> What should I do in all to let my Snort run in IPS mode<br>
>>><br>
>>> Thanks in advance<br>
>>><br>
>>> Ashish Sharma<br>
>>><br>
>><br>
><br>
<br>
</div></div>------------------------------------------------------------------------------<br>
<div><div></div><div class="h5">Download Intel&#174; Parallel Studio Eval<br>
Try the new software tools for yourself. Speed compiling, find bugs<br>
proactively, and fine-tune applications for parallel performance.<br>
See why Intel Parallel Studio got high marks during beta.<br>
<a href="http://p.sf.net/sfu/intel-sw-dev" target="_blank">http://p.sf.net/sfu/intel-sw-dev</a><br>
_______________________________________________<br>
Snort-users mailing list<br>
<a href="mailto:Snort-users@lists.sourceforge.net">Snort-users@...4626...ceforge.net</a><br>
Go to this URL to change user options or unsubscribe:<br>
<a href="https://lists.sourceforge.net/lists/listinfo/snort-users
Snort-users" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-users<br>
Snort-users</a> list archive:<br>
<a href="http://www.geocrawler.com/redir-sf.php3?list=snort-users" target="_blank">http://www.geocrawler.com/redir-sf.php3?list=snort-users</a><br>
</div></div></blockquote></div><br><br clear="all"><br>-- <br>Joel Esler <br>302-223-5974<br>