Try using an "O" in HOME_NET instead of a "0"<br><br><div class="gmail_quote">On Thu, Aug 16, 2012 at 11:32 AM, Chiesa Stefano <span dir="ltr"><<a href="mailto:Stefano.Chiesa@...15753..." target="_blank">Stefano.Chiesa@...15753...</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hello all.<br>
I'm a newbie in Linux system management and is the first time I install<br>
snort (barnyard2, snorby) and I need a help.<br>
Everything is working quite fine at the moment, but I want to go ahead<br>
and I'm facing a problem.<br>
<br>
<br>
These are the details:<br>
<br>
CentOS release 6.3 (Final)<br>
Linux s-dr-snort 2.6.32-279.2.1.el6.x86_64 #1 SMP Fri Jul 20 01:55:29<br>
UTC 2012 x86_64 x86_64 x86_64 GNU/Linux<br>
<br>
[root@...15754... ~]# /usr/sbin/snort -V<br>
<br>
   ,,_     -*> Snort! <*-<br>
  o"  )~   Version 2.9.2.3 IPv6 GRE (Build 205)<br>
   ''''    By Martin Roesch & The Snort Team:<br>
<a href="http://www.snort.org/snort/snort-team" target="_blank">http://www.snort.org/snort/snort-team</a><br>
           Copyright (C) 1998-2012 Sourcefire, Inc., et al.<br>
           Using libpcap version 1.3.0<br>
           Using PCRE version: 7.8 2008-09-05<br>
           Using ZLIB version: 1.2.3<br>
<br>
Rules updated every night via Pulledpork.<br>
As a result I have a single rules file snort.rules.<br>
I inseted the include statement in the snort.conf file:<br>
<br>
include $RULE_PATH/snort.rules<br>
<br>
and disabled all other include lines.<br>
<br>
This is the error:<br>
<br>
+++++++++++++++++++++++++++++++++++++++++++++++++++<br>
Initializing rule chains...<br>
WARNING: /etc/snort/../rules/snort.rules(12) threshold (in rule) is<br>
deprecated; use detection_filter instead.<br>
<br>
ERROR: /etc/snort/../rules/snort.rules(7073) !any is not allowed:<br>
!$HOME_NET.<br>
Fatal Error, Quitting..<br>
+++++++++++++++++++++++++++++++++++++++++++++++++++<br>
<br>
I understood I have to configure the HOME_NET variable (I have almost<br>
all the variables at the "any" value).<br>
But, and this is the main problem, no matter what I write to configure<br>
the variable I always get an error.<br>
<br>
ipvar H0ME_NET 212.239.x.x/25           w/o brackets<br>
ipvar H0ME_NET [212.239.x.x/25] w/ brackets<br>
ipvar H0ME_NET [172.16.40.111] w/ single internal address<br>
<br>
using 'ipvar' or simply 'var' I get these errors:<br>
<br>
[root@...15754... ~]# /usr/sbin/snort -T -d -i eth0 -u snort -g snort -c<br>
/etc/snort/snort.conf -l /home/snort/log/eth0<br>
Running in Test mode<br>
<br>
        --== Initializing Snort ==--<br>
Initializing Output Plugins!<br>
Initializing Preprocessors!<br>
Initializing Plug-ins!<br>
Parsing Rules file "/etc/snort/snort.conf"<br>
ERROR: /etc/snort/snort.conf(55) Failed to parse the IP address:<br>
$HOME_NET.<br>
Fatal Error, Quitting..<br>
<br>
(the line #55 is the first one that tries to use the variable: ipvar<br>
DNS_SERVERS $HOME_NET<br>
<br>
I read a number of post everywhere but I didn't find a solution.<br>
Can someone help me?<br>
<br>
Thanks in advance.<br>
<br>
Stefano.<br>
<br>
<br>
----------------------------------------<br>
Stefano Chiesa<br>
Wolters Kluwer Italia<br>
Strada 1, Palazzo F6<br>
20090 Milanofiori Assago (Mi) - Italia<br>
Phone <a href="tel:%2B39%200282476279" value="+390282476279">+39 0282476279</a> (20279 Voip)<br>
Fax +39 0282476815<br>
<br>
<br>
<br>
<br>------------------------------------------------------------------------------<br>
Live Security Virtual Conference<br>
Exclusive live event will cover all the ways today's security and<br>
threat landscape has changed and how IT managers can respond. Discussions<br>
will include endpoint security, mobile security and the latest in malware<br>
threats. <a href="http://www.accelacomm.com/jaw/sfrnl04242012/114/50122263/" target="_blank">http://www.accelacomm.com/jaw/sfrnl04242012/114/50122263/</a><br>_______________________________________________<br>
Snort-users mailing list<br>
<a href="mailto:Snort-users@lists.sourceforge.net">Snort-users@...4626...ceforge.net</a><br>
Go to this URL to change user options or unsubscribe:<br>
<a href="https://lists.sourceforge.net/lists/listinfo/snort-users" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-users</a><br>
Snort-users list archive:<br>
<a href="http://www.geocrawler.com/redir-sf.php3?list=snort-users" target="_blank">http://www.geocrawler.com/redir-sf.php3?list=snort-users</a><br>
<br>
Please visit <a href="http://blog.snort.org" target="_blank">http://blog.snort.org</a> to stay current on all the latest Snort news!<br></blockquote></div><br><br clear="all"><br><br>