<p>You need to set the two interfaces in promiscuous mode.<br>
I haven't got a guide right here. But try google Snort inline or look in the Snort manual... </p>
<p>/Lysemose </p>
<div class="gmail_quote">On Feb 9, 2012 6:34 PM, "Dave Kelly" <<a href="mailto:bigdavekelly@...14012...">bigdavekelly@...14012...</a>> wrote:<br type="attribution"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Thanks, that might make a bit more sense!  So the two interfaces that<br>
are bridging don't need IP addresses?  I haven't seen a guide to<br>
setting this up anywhere, do you know of one?<br>
<br>
Dave.<br>
<br>
On Thu, Feb 9, 2012 at 4:21 PM, Heine Lysemose <<a href="mailto:lysemose@...11827...">lysemose@...11827...</a>> wrote:<br>
> Hi,<br>
><br>
> To setup Snort as inline you need 3 network interface and pass your traffic<br>
> through a bridge between 2 of the interfaces and a 3. for administration.<br>
> You can start Snort with -Q to enable inline.<br>
><br>
> /Lysemose<br>
><br>
> On Feb 9, 2012 4:23 PM, "Dave Kelly" <<a href="mailto:bigdavekelly@...14012...">bigdavekelly@...14012...</a>> wrote:<br>
>><br>
>> Hello,<br>
>><br>
>> I'm going to try setting up a new inline configuration, I've only<br>
>> tried passive before but would like Snort to be able to drop packets<br>
>> it says are bad.  I'm trying to work out the IP addressing for it. At<br>
>> the moment, I have all my machines in <a href="http://192.168.1.0/24" target="_blank">192.168.1.0/24</a> with a router at<br>
>> 192.168.1.1 and a mirrored port on the switch sending all traffic to<br>
>> snort.<br>
>><br>
>> It's pretty similar to the Ubuntu getting started guide in the docs<br>
>> ("Snort 2.9.2.0 on Ubuntu 10.04 LTS").<br>
>><br>
>> I think that to move snort to inline I'm going to need to give it a<br>
>> proper IP address and have the traffic pass through it but I can't<br>
>> quite work out how to do that without reconfiguring all the hosts to<br>
>> have new gateway addresses etc.  Any hints to get me going would be<br>
>> much appreciated.<br>
>><br>
>> Dave.<br>
>><br>
>><br>
>> ------------------------------------------------------------------------------<br>
>> Virtualization & Cloud Management Using Capacity Planning<br>
>> Cloud computing makes use of virtualization - but cloud computing<br>
>> also focuses on allowing computing to be delivered as a service.<br>
>> <a href="http://www.accelacomm.com/jaw/sfnl/114/51521223/" target="_blank">http://www.accelacomm.com/jaw/sfnl/114/51521223/</a><br>
>> _______________________________________________<br>
>> Snort-users mailing list<br>
>> <a href="mailto:Snort-users@lists.sourceforge.net">Snort-users@...2902...ists.sourceforge.net</a><br>
>> Go to this URL to change user options or unsubscribe:<br>
>> <a href="https://lists.sourceforge.net/lists/listinfo/snort-users" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-users</a><br>
>> Snort-users list archive:<br>
>> <a href="http://www.geocrawler.com/redir-sf.php3?list=snort-users" target="_blank">http://www.geocrawler.com/redir-sf.php3?list=snort-users</a><br>
>><br>
>> Please visit <a href="http://blog.snort.org" target="_blank">http://blog.snort.org</a> to stay current on all the latest Snort<br>
>> news!<br>
<br>
------------------------------------------------------------------------------<br>
Virtualization & Cloud Management Using Capacity Planning<br>
Cloud computing makes use of virtualization - but cloud computing<br>
also focuses on allowing computing to be delivered as a service.<br>
<a href="http://www.accelacomm.com/jaw/sfnl/114/51521223/" target="_blank">http://www.accelacomm.com/jaw/sfnl/114/51521223/</a><br>
_______________________________________________<br>
Snort-users mailing list<br>
<a href="mailto:Snort-users@lists.sourceforge.net">Snort-users@...4626...ceforge.net</a><br>
Go to this URL to change user options or unsubscribe:<br>
<a href="https://lists.sourceforge.net/lists/listinfo/snort-users" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-users</a><br>
Snort-users list archive:<br>
<a href="http://www.geocrawler.com/redir-sf.php3?list=snort-users" target="_blank">http://www.geocrawler.com/redir-sf.php3?list=snort-users</a><br>
<br>
Please visit <a href="http://blog.snort.org" target="_blank">http://blog.snort.org</a> to stay current on all the latest Snort news!<br>
</blockquote></div>