<html><body bgcolor="#FFFFFF"><div>Most likely this means that you need to define your variables in snort.conf. <br><br><br><div>Sent from my iPhone</div></div><div><br>On Aug 10, 2010, at 7:32 AM, Sylvain Chillaud <<a href="mailto:sylvain.chillaud@...11827...">sylvain.chillaud@...14459.....</a>> wrote:<br><br></div><div></div><blockquote type="cite"><div>Hi Jun,<br><br>the answer is in your error message : you can't have !any in a rule -> means 'nothing'. You can't detect based on nothing.<br>Change that in the appropriate rule and it should be ok.<br><br>

Regards,<br><br>Sylvain<br><br><div class="gmail_quote">2010/8/10 Jun Wan <span dir="ltr"><<a href="mailto:junwei_wan@...125..." target="_blank"><a href="mailto:junwei_wan@...125...">junwei_wan@...125...</a></a>></span><br><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">





<div>
Hi,<br>
 <br>
I installed SNORT on a fresh Ubuntu 10.04 by following <a href="http://it.thelibrarie.com/weblog/?p=515" target="_blank"><a href="http://it.thelibrarie.com/weblog/?p=515">http://it.thelibrarie.com/weblog/?p=515</a></a><br>
 <br><font size="2">
snort -c /etc/snort/snort.conf -i eth0<br></font>
 <br>
I get the following:<br>
 <br><font size="2">
Running in IDS mode<br>
--== Initializing Snort ==--<br>
Initializing Output Plugins!<br>
Initializing Preprocessors!<br>
Initializing Plug-ins<br>
 <br>
<font style="background-color: rgb(0, 176, 240);">....pls see the attached details of "Snort installation error.rtf"...</font><br>
<font style="background-color: rgb(0, 176, 240);"></font> <br>
 <br><font style="background-color: rgb(0, 176, 240);"><font size="2">
<font style="background-color: rgb(255, 255, 255);">+++++++++++++++++++++++++++++++++++++++++++++++++++</font><br>
<font style="background-color: rgb(255, 255, 255);">Initializing rule chains...</font><br>
<font style="background-color: rgb(255, 255, 255);">Warning: /etc/snort/rules/dos.rules(42) => threshold (in rule) is deprecated; use detection_filter instead.</font><br>
<font style="background-color: rgb(255, 255, 255);">ERROR: /etc/snort/rules/community-smtp.rules(13) => !any is not allowed</font><br>
<font style="background-color: rgb(255, 255, 255);">Fatal Error, Quitting..</font><br>
<font style="background-color: rgb(255, 255, 255);"></font> <br>
<font style="background-color: rgb(255, 255, 255);">Can't find much info via "google", so I would like to have your help.</font><br></font></font>
<font style="background-color: rgb(0, 176, 240);"></font> <br>
<font style="background-color: rgb(255, 255, 255);">Any info and help would be much appreciated.</font><br>
 <br>
Thanks for your patience with my many Snort questions.<br>
 <br>
Regards<br>
 <br>
John <br>
 <br>
 <br>
 <br>
 <br></font>                                     </div>
<br>------------------------------------------------------------------------------<br>
This <a href="http://SF.net">SF.net</a> email is sponsored by<br>
<br>
Make an app they can't live without<br>
Enter the BlackBerry Developer Challenge<br>
<a href="http://p.sf.net/sfu/RIM-dev2dev" target="_blank"><a href="http://p.sf.net/sfu/RIM-dev2dev">http://p.sf.net/sfu/RIM-dev2dev</a></a> <br>_______________________________________________<br>
Snort-users mailing list<br>
<a href="mailto:Snort-users@lists.sourceforge.net" target="_blank"><a href="mailto:Snort-users@lists.sourceforge.net">Snort-users@...2987...rge.net</a></a><br>
Go to this URL to change user options or unsubscribe:<br>
<a href="https://lists.sourceforge.net/lists/listinfo/snort-users" target="_blank"><a href="https://lists.sourceforge.net/lists/listinfo/snort-users">https://lists.sourceforge.net/lists/listinfo/snort-users</a></a><br>
Snort-users list archive:<br>
<a href="http://www.geocrawler.com/redir-sf.php3?list=snort-users" target="_blank"><a href="http://www.geocrawler.com/redir-sf.php3?list=snort-users">http://www.geocrawler.com/redir-sf.php3?list=snort-users</a></a><br></blockquote></div><br>
</div></blockquote><blockquote type="cite"><div><span>------------------------------------------------------------------------------</span><br><span>This <a href="http://SF.net">SF.net</a> email is sponsored by </span><br><span></span><br><span>Make an app they can't live without</span><br><span>Enter the BlackBerry Developer Challenge</span><br><span><a href="http://p.sf.net/sfu/RIM-dev2dev">http://p.sf.net/sfu/RIM-dev2dev</a> </span></div></blockquote><blockquote type="cite"><div><span>_______________________________________________</span><br><span>Snort-users mailing list</span><br><span><a href="mailto:Snort-users@lists.sourceforge.net">Snort-users@...1753...s.sourceforge.net</a></span><br><span>Go to this URL to change user options or unsubscribe:</span><br><span><a href="https://lists.sourceforge.net/lists/listinfo/snort-users">https://lists.sourceforge.net/lists/listinfo/snort-users</a></span><br><span>Snort-users list archive:</span><br><span><a href="http://www.geocrawler.com/redir-sf.php3?list=snort-users">http://www.geocrawler.com/redir-sf.php3?list=snort-users</a></span></div></blockquote></body></html>