<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
<head>
  <meta content="text/html; charset=ISO-8859-1"
 http-equiv="Content-Type">
</head>
<body bgcolor="#ffffff" text="#000000">
On 09/22/2010 08:08 AM, Tomas Heredia wrote:
<blockquote cite="mid:4C99F1D3.9000202@...14897..." type="cite">Mmmm..
Snort links to libipq... and to use nfnetlink queue, yo shoud link to
libnfnetlink_queue instead...<br>
Better try unloading nfnetlink_queue, nfnetlink and XT_NFQUEUE, and
then loading  ip_queue alone<br>
</blockquote>
<span id="result_box" class="long_text short_text"><span style=""
 title="">output follows the procedures performed<br>
<br>
<b>unload modules <br>
</b><br>
root@...14985...:~# modprobe -r nfnetlink_queue<br>
root@...14985...:~# modprobe -r nfnetlink<br>
root@...14985...:~# modprobe -r xt_NFQUEUE<br>
root@...14985...:~# modprobe -r ip_queue<br>
<br>
<b>list modules load</b><br>
<br>
root@...14985...:~# lsmod <br>
Module                  Size  Used by<br>
xt_tcpudp               2667  0 <br>
iptable_filter          2791  0 <br>
ip_tables              18358  1 iptable_filter<br>
x_tables               22429  2 xt_tcpudp,ip_tables<br>
bridge                 53152  0 <br>
stp                     2171  1 bridge<br>
fbcon                  39270  71 <br>
tileblit                2487  1 fbcon<br>
font                    8053  1 fbcon<br>
bitblit                 5811  1 fbcon<br>
softcursor              1565  1 bitblit<br>
vga16fb                12757  1 <br>
vgastate                9857  1 vga16fb<br>
radeon                739595  0 <br>
ttm                    60815  1 radeon<br>
drm_kms_helper         30710  1 radeon<br>
ipmi_si                41065  0 <br>
ipmi_msghandler        36955  1 ipmi_si<br>
lp                      9336  0 <br>
parport                37160  1 lp<br>
drm                   198226  3 radeon,ttm,drm_kms_helper<br>
i2c_algo_bit            6024  1 radeon<br>
hpilo                   7985  0 <br>
i3000_edac              3679  0 <br>
psmouse                64608  0 <br>
serio_raw               4950  0 <br>
shpchp                 33679  0 <br>
edac_core              45423  3 i3000_edac<br>
usbhid                 40988  0 <br>
hid                    83376  1 usbhid<br>
tg3                   122350  0 <br>
root@...14985...:~# <br>
<br>
<b>load module ip_queue</b><br>
<br>
root@...14985...:~# modprobe ip_queue<br>
root@...14985...:~# lsmod | grep -i queue<br>
<b>ip_queue   </b>             6324  0 <br>
root@...14985...:~# lsmod <br>
Module                  Size  Used by<br>
<b>ip_queue </b>               6324  0 <br>
xt_tcpudp               2667  0 <br>
iptable_filter          2791  0 <br>
ip_tables              18358  1 iptable_filter<br>
x_tables               22429  2 xt_tcpudp,ip_tables<br>
bridge                 53152  0 <br>
stp                     2171  1 bridge<br>
fbcon                  39270  71 <br>
tileblit                2487  1 fbcon<br>
font                    8053  1 fbcon<br>
bitblit                 5811  1 fbcon<br>
softcursor              1565  1 bitblit<br>
vga16fb                12757  1 <br>
vgastate                9857  1 vga16fb<br>
radeon                739595  0 <br>
ttm                    60815  1 radeon<br>
drm_kms_helper         30710  1 radeon<br>
ipmi_si                41065  0 <br>
ipmi_msghandler        36955  1 ipmi_si<br>
lp                      9336  0 <br>
parport                37160  1 lp<br>
drm                   198226  3 radeon,ttm,drm_kms_helper<br>
i2c_algo_bit            6024  1 radeon<br>
hpilo                   7985  0 <br>
i3000_edac              3679  0 <br>
psmouse                64608  0 <br>
serio_raw               4950  0 <br>
shpchp                 33679  0 <br>
edac_core              45423  3 i3000_edac<br>
usbhid                 40988  0 <br>
hid                    83376  1 usbhid<br>
tg3                   122350  0 <br>
root@...14985...:~# <br>
<br>
<b>create rules iptables</b><br>
<br>
root@...14985...:~# iptables -t filter -I FORWARD -p tcp --dport 3389 -j
QUEUE<br>
root@...14985...:~# iptables -t filter -I FORWARD -p tcp --sport 3389 -j
QUEUE<br>
<br>
<b>snort running</b><br>
<br>
oot@...14985...:~# ps ax | grep -i snort<br>
24224 ?        Ss     0:01 /usr/sbin/snort -m 027 -D -Q -l
/var/log/snort -u snort -g snort -c /etc/snort/snort.conf<br>
root@...14985...:~# <br>
<br>
<b>list rules iptables load</b><br>
<br>
root@...14985...:~# iptables -t filter -nL<br>
Chain INPUT (policy ACCEPT)<br>
target     prot opt source               destination         <br>
<br>
Chain FORWARD (policy ACCEPT)<br>
target     prot opt source               destination         <br>
QUEUE      tcp  --  0.0.0.0/0            0.0.0.0/0           tcp
spt:3389 <br>
QUEUE      tcp  --  0.0.0.0/0            0.0.0.0/0           tcp
dpt:3389 <br>
<br>
Chain OUTPUT (policy ACCEPT)<br>
target     prot opt source               destination         <br>
root@...14985...:~# <br>
<br>
<b>debug with tcpdump</b><br>
<br>
root@...14985...:~# tcpdump -i br0 -n port 3389<br>
tcpdump: verbose output suppressed, use -v or -vv for full protocol
decode<br>
listening on br0, link-type EN10MB (Ethernet), capture size 96 bytes<br>
11:20:52.147495 IP 100.100.100.100.44361 > 200.200.200.200.3389:
Flags [S], seq 973176684, win 5840, options [mss 1460,sackOK,TS val
273500 ecr 0,nop,wscale 7], length 0<br>
11:20:55.286310 IP </span></span><span id="result_box"
 class="long_text short_text"><span style="" title="">100.100.100.100</span></span><span
 id="result_box" class="long_text short_text"><span style="" title="">.44361
> </span></span><span id="result_box" class="long_text short_text"><span
 style="" title="">200.200.200.200</span></span><span id="result_box"
 class="long_text short_text"><span style="" title="">.3389: Flags [S],
seq 973176684, win 5840, options [mss 1460,sackOK,TS val 273800 ecr
0,nop,wscale 7], length 0<br>
11:21:01.143103 IP </span></span><span id="result_box"
 class="long_text short_text"><span style="" title="">100.100.100.100</span></span><span
 id="result_box" class="long_text short_text"><span style="" title="">.44361
> </span></span><span id="result_box" class="long_text short_text"><span
 style="" title="">200.200.200.200</span></span><span id="result_box"
 class="long_text short_text"><span style="" title="">.3389: Flags [S],
seq 973176684, win 5840, options [mss 1460,sackOK,TS val 274400 ecr
0,nop,wscale 7], length 0<br>
<br>
<br>
</span></span><span id="result_box" class="long_text"><span style=""
 title="">and alert in the file and not generated anything I am sending
herewith the snort.conf file, but I think that is not the cause of the
problem, I'll do a test on another distribution to see if it is some
incompatibility, I'm using the Ubuntu distribution'll version 10:04, </span><span
 style="background-color: rgb(255, 255, 255);" title=""></span></span><span
 id="result_box" class="long_text"><span
 style="background-color: rgb(255, 255, 255);" title="">i will test
with the distribution CentOS or fedora.</span></span><br>
<span id="result_box" class="long_text"><span
 style="background-color: rgb(255, 255, 255);" title=""><br>
Regards.<br>
</span></span>
</body>
</html>