<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
  <head>

    <meta http-equiv="content-type" content="text/html; charset=ISO-8859-1">
  </head>
  <body bgcolor="#ffffff" text="#000000">
    I am working on qualifying the frebsd port for --daq ipfw for
    freebsd 7.3, amd64 and snort 2.9.0.3<br>
    <br>
    I have never used inline mode, (tried it once, didn't seem to get it
    to do anything)<br>
    I must be doing something wrong.  Still can't get any packets out
    the other end.<br>
    <br>
    I have snort 2.9.0.3 compiled, and (I think running in inline/ipfw
    mode).  I push packets in wan0 but don't see them come out lan0.<br>
    <tt><br>
      ./configure --enable-dynamicplugin --enable-build-dynamic-examples
      --enable-reload --enable-reload-restart --disable-corefiles
      --with-dnet-includes=/usr/local/include/libnet11
      --with-dnet-libraries=/usr/local/lib/libnet11 --enable-flexresp3
      --enable-active-response --with-mysql=no --with-odbc=no
      --with-postgresql=no --disable-prelude --enable-perfprofiling
      --enable-ppm --enable-gre --enable-mpls
      --enable-decoder-preprocessor-rules --enable-zlib
      --enable-normalizer --enable-react --prefix=/usr/local
      --mandir=/usr/local/man --infodir=/usr/local/info/
      --build=amd64-portbld-freebsd7.3<br>
    </tt><br>
    snort.conf sample with two minor changes:  set home_net and added
    config policy_mode:inline<br>
    ./snort -T -c /usr/local/etc/snort/snort.conf passes.<br>
    <br>
    snort started like this: (man says -Q is for iptables.. not ipfw)
    tried with and without. didn't change anything.<br>
    <tt>./snort -c /usr/local/etc/snort/snort.conf -l /var/log/snort -dq
      -m 022 -k none -Q --daq ipfw </tt><br>
    <br>
    its running, did something:<br>
    <tt>ls -lt /var/log/snort/<br>
      total 2<br>
      -rw-r--r--  1 root  wheel    0 Feb  4 16:35 snort.log.1296855300</tt><br>
    <br>
    I see it listening:<br>
    <tt><br>
      sockstat -4p8000<br>
      USER     COMMAND    PID   FD PROTO  LOCAL ADDRESS         FOREIGN
      ADDRESS      <br>
      root     snort      14512 5  div4   *:8000                *:*<br>
      <br>
    </tt><br>
    ipfw has this:<br>
    <br>
    <tt>00100    10     552 allow ip from any to any via lo0<br>
      00200     0       0 deny ip from any to 127.0.0.0/8<br>
      00300     0       0 deny ip from 127.0.0.0/8 to any<br>
      00400     0       0 deny ip from 169.254.0.0/16 to any via con0<br>
      00500     0       0 deny ip from 224.0.0.0/4 to any via con0<br>
      00600     0       0 deny ip from 240.0.0.0/4 to any via con0<br>
      00700 22264 8686033 allow ip from any to any via con0<br>
      10000     0       0 divert 8000 ip from any to any<br>
      65535     4     883 allow ip from any to any<br>
    </tt><br>
    <br>
    aux interfaces are wan0 and lan0<br>
    kernel (obviously) has divert, or else ipfw would not allow it.<br>
    I have turned on, and off forwarding.<br>
    <tt>net.inet.ip.forwarding: 0<br>
      net.inet.ip.fastforwarding: 0<br>
    </tt><br>
    con0 is out of band maint intf.<br>
    <br>
    <tt>lan0:
      flags=88c3<UP,BROADCAST,RUNNING,NOARP,SIMPLEX,MULTICAST>
      metric 0 mtu 1500<br>
         
options=19b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM,TSO4><br>
          ether somerandommac<br>
          media: Ethernet autoselect (1000baseTX <full-duplex>)<br>
          status: active<br>
      wan0:
      flags=88c3<UP,BROADCAST,RUNNING,NOARP,SIMPLEX,MULTICAST>
      metric 0 mtu 1500<br>
         
options=19b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM,TSO4><br>
          ether notherrandommac<br>
          media: Ethernet autoselect (1000baseTX <full-duplex>)<br>
          status: active</tt><br>
    <br>
    if I sniff wan0 I see it TRYING.<br>
    <tt>tshark -niwan0<br>
      Capturing on wan0<br>
        0.000000 00:11: -> ff:ff:ff:ff:ff:ff ARP Who has
      172.70.2.56?  Tell 172.70.2.13<br>
        1.000912 00:11: -> ff:ff:ff:ff:ff:ff ARP Who has
      172.70.2.56?  Tell 172.70.2.13<br>
        2.001953 00:11: -> ff:ff:ff:ff:ff:ff ARP Who has
      172.70.2.56?  Tell 172.70.2.13<br>
        3.002994 00:11: -> ff:ff:ff:ff:ff:ff ARP Who has
      172.70.2.56?  Tell 172.70.2.13<br>
        4.004035 00:11: -> ff:ff:ff:ff:ff:ff ARP Who has
      172.70.2.56?  Tell 172.70.2.13<br>
        5.005076 00:11: -> ff:ff:ff:ff:ff:ff ARP Who has
      172.70.2.56?  Tell 172.70.2.13<br>
        6.006117 00:11: -> ff:ff:ff:ff:ff:ff ARP Who has
      172.70.2.56?  Tell 172.70.2.13</tt><br>
    <br>
    what am I missing? it must be on the freebsd side, since Rajkumar S
    has it working on freebsd. (6.2)<br>
    maybe I have tried so many options, that the one set of options
    needed wasn't tried.  ALL at once!<br>
    <br>
    also note, I have no ip addresses on wan0 and lan0.  also note, I
    know that the 'freebsd bridge code doesn't work with divert' so,
    bridge isn't compiled in, and neither is if_bridge:<br>
    <tt><br>
      ifconfig -C<br>
      lo tun</tt><br>
    <br>
    the ip addresses on the wan0 and lan0 side are in a separate subnet
    from con0, and (in bridge mode! if a different kernel) I have
    confirmed that it passes traffic.  (different kernel, the one I am
    running now, does not have bridge code in it)<br>
    <br>
    <br>
    <div class="moz-signature">-- <br>
      Michael Scheidell, CTO<br>
      o: 561-999-5000<br>
      d: 561-948-2259<br>
      ISN: 1259*1300<br>
      <font color="#999999">></font><font color="#cc0000"> <b>| </b></font>SECNAP
      Network Security Corporation
      <style type="text/css">
<!--
.unnamed1 {
        margin: 1em;
        padding: 1px;
} -->
</style>
      <ul class="unnamed1">
        <li>Certified SNORT Integrator</li>
        <li>2008-9 Hot Company Award Winner, World Executive Alliance</li>
        <li>Five-Star Partner Program 2009, VARBusiness</li>
        <li>Best in Email Security,2010: Network Products Guide</li>
        <li>King of Spam Filters, SC Magazine 2008</li>
      </ul>
    </div>
  
<br>
<div id="disclaimer.secnap.com"><hr />
<p>This email has been scanned and certified safe by SpammerTrap®.
<br />For Information please see
<a href="http://www.secnap.com/products/spammertrap/">http://www.secnap.com/products/spammertrap/</a></p> <hr /></div>
<br>
</body>
</html>