<br><br><div class="gmail_quote">On Thu, Feb 9, 2012 at 1:11 PM, PS <span dir="ltr"><<a href="mailto:packetstack@...11827...">packetstack@...979...11827...</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
When I first setup snort inline I only had two interfaces. One being my wan interface (eth0) and the other the LAN interface (eth1). I am able to run inline with just those two interfaces, but it is not recommended. Both are set to promiscuous mode. So it can be done with two if you really need to. Both interfaces have IP addresses.<br>

<br>
As for them needing IP addresses, I am not sure how it could be inline without IP addresses. How would traffic be routed?<br></blockquote><div><br></div><div>Inline operation doesn't require IP addresses on the non-management port and it is probably better that they don't have IP addresses.  In inline mode you are just a "bump in the wire", and not routable apart from the management port. </div>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<br>
Again, it's best if you have a third interface for management.<br>
<div class="HOEnZb"><div class="h5"><br>
<br>
On Feb 9, 2012, at 12:29 PM, Dave Kelly <<a href="mailto:bigdavekelly@...14012...">bigdavekelly@...14012...</a>> wrote:<br>
<br>
> Thanks, that might make a bit more sense!  So the two interfaces that<br>
> are bridging don't need IP addresses?  I haven't seen a guide to<br>
> setting this up anywhere, do you know of one?<br>
><br>
> Dave.<br>
><br>
> On Thu, Feb 9, 2012 at 4:21 PM, Heine Lysemose <<a href="mailto:lysemose@...11827...">lysemose@...11827...</a>> wrote:<br>
>> Hi,<br>
>><br>
>> To setup Snort as inline you need 3 network interface and pass your traffic<br>
>> through a bridge between 2 of the interfaces and a 3. for administration.<br>
>> You can start Snort with -Q to enable inline.<br>
>><br>
>> /Lysemose<br>
>><br>
>> On Feb 9, 2012 4:23 PM, "Dave Kelly" <<a href="mailto:bigdavekelly@...14012...">bigdavekelly@...14012...</a>> wrote:<br>
>>><br>
>>> Hello,<br>
>>><br>
>>> I'm going to try setting up a new inline configuration, I've only<br>
>>> tried passive before but would like Snort to be able to drop packets<br>
>>> it says are bad.  I'm trying to work out the IP addressing for it. At<br>
>>> the moment, I have all my machines in <a href="http://192.168.1.0/24" target="_blank">192.168.1.0/24</a> with a router at<br>
>>> 192.168.1.1 and a mirrored port on the switch sending all traffic to<br>
>>> snort.<br>
>>><br>
>>> It's pretty similar to the Ubuntu getting started guide in the docs<br>
>>> ("Snort 2.9.2.0 on Ubuntu 10.04 LTS").<br>
>>><br>
>>> I think that to move snort to inline I'm going to need to give it a<br>
>>> proper IP address and have the traffic pass through it but I can't<br>
>>> quite work out how to do that without reconfiguring all the hosts to<br>
>>> have new gateway addresses etc.  Any hints to get me going would be<br>
>>> much appreciated.<br>
>>><br>
>>> Dave.<br>
>>><br>
>>><br>
>>> ------------------------------------------------------------------------------<br>
>>> Virtualization & Cloud Management Using Capacity Planning<br>
>>> Cloud computing makes use of virtualization - but cloud computing<br>
>>> also focuses on allowing computing to be delivered as a service.<br>
>>> <a href="http://www.accelacomm.com/jaw/sfnl/114/51521223/" target="_blank">http://www.accelacomm.com/jaw/sfnl/114/51521223/</a><br>
>>> _______________________________________________<br>
>>> Snort-users mailing list<br>
>>> <a href="mailto:Snort-users@lists.sourceforge.net">Snort-users@lists.sourceforge.net</a><br>
>>> Go to this URL to change user options or unsubscribe:<br>
>>> <a href="https://lists.sourceforge.net/lists/listinfo/snort-users" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-users</a><br>
>>> Snort-users list archive:<br>
>>> <a href="http://www.geocrawler.com/redir-sf.php3?list=snort-users" target="_blank">http://www.geocrawler.com/redir-sf.php3?list=snort-users</a><br>
>>><br>
>>> Please visit <a href="http://blog.snort.org" target="_blank">http://blog.snort.org</a> to stay current on all the latest Snort<br>
>>> news!<br>
><br>
> ------------------------------------------------------------------------------<br>
> Virtualization & Cloud Management Using Capacity Planning<br>
> Cloud computing makes use of virtualization - but cloud computing<br>
> also focuses on allowing computing to be delivered as a service.<br>
> <a href="http://www.accelacomm.com/jaw/sfnl/114/51521223/" target="_blank">http://www.accelacomm.com/jaw/sfnl/114/51521223/</a><br>
> _______________________________________________<br>
> Snort-users mailing list<br>
> <a href="mailto:Snort-users@lists.sourceforge.net">Snort-users@...7287....sourceforge.net</a><br>
> Go to this URL to change user options or unsubscribe:<br>
> <a href="https://lists.sourceforge.net/lists/listinfo/snort-users" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-users</a><br>
> Snort-users list archive:<br>
> <a href="http://www.geocrawler.com/redir-sf.php3?list=snort-users" target="_blank">http://www.geocrawler.com/redir-sf.php3?list=snort-users</a><br>
><br>
> Please visit <a href="http://blog.snort.org" target="_blank">http://blog.snort.org</a> to stay current on all the latest Snort news!<br>
<br>
------------------------------------------------------------------------------<br>
Virtualization & Cloud Management Using Capacity Planning<br>
Cloud computing makes use of virtualization - but cloud computing<br>
also focuses on allowing computing to be delivered as a service.<br>
<a href="http://www.accelacomm.com/jaw/sfnl/114/51521223/" target="_blank">http://www.accelacomm.com/jaw/sfnl/114/51521223/</a><br>
_______________________________________________<br>
Snort-users mailing list<br>
<a href="mailto:Snort-users@lists.sourceforge.net">Snort-users@...4626...ceforge.net</a><br>
Go to this URL to change user options or unsubscribe:<br>
<a href="https://lists.sourceforge.net/lists/listinfo/snort-users" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-users</a><br>
Snort-users list archive:<br>
<a href="http://www.geocrawler.com/redir-sf.php3?list=snort-users" target="_blank">http://www.geocrawler.com/redir-sf.php3?list=snort-users</a><br>
<br>
Please visit <a href="http://blog.snort.org" target="_blank">http://blog.snort.org</a> to stay current on all the latest Snort news!<br>
</div></div></blockquote></div><br>