<br><br><div class="gmail_quote">---------- Forwarded message ----------<br>From: <b class="gmail_sendername">Okeowo, Ayo</b> <span dir="ltr"><<a href="mailto:gadmin@...16076...">gadmin@...16076...</a>></span><br>
Date: Sun, Feb 10, 2013 at 12:11 PM<br>Subject: Re: [Snort-users] Snort in Inline Mode on CentOS 6.3<br>To: Y M <<a href="mailto:snort@...16002....">snort@...15979...</a>><br><br><br><div>Below is what I have.</div><div>
<br></div><div><br></div><div>{Q1::Answer}</div><div>my snort command is:-</div><div>snort -c /etc/snort/snort.conf --daq afpacket -i eth0:eth2 -Q -A console</div><div><br></div><div>{Q2::Answer}</div>
<div>I'm using DAQ mode: --daq afpacket</div><div><br></div><div>{Q3::Answer - drop rule reside in the local.rules}</div><div>drop tcp $HOME_NET any -> $EXTERNAL_NET [80,443] (msg:"Block Web Traffic from Outside"; classtype:web-application-attack; metadata:service http; flow:established,to_</div>

<div>server; sid:1000008; rev:2;)</div><div><br></div><div>{Q4::Answer}</div><div>Verdicts:</div><div>      Allow:      8115288 ( 98.956%)</div><div>      Block:          640 (  0.008%)</div><div>    Replace:          252 (  0.003%)</div>

<div>  Whitelist:            0 (  0.000%)</div><div>  Blacklist:           37 (  0.000%)</div><div>     Ignore:            0 (  0.000%)</div><div><br></div><br><div class="gmail_quote"><div class="im">On Sun, Feb 10, 2013 at 11:54 AM, Y M <span dir="ltr"><<a href="mailto:snort@...15979..." target="_blank">snort@...15979...</a>></span> wrote:<br>

</div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">



<div><div class="im">
<div>
<div style="FONT-SIZE:11pt;FONT-FAMILY:Calibri,sans-serif">a. How are you running Snort? In other words, what is the command you are using to run Snort?<br>
<br>
b. Which DAQ are you using?<br>
<br>
c. How is your drop rule setup?<br>
<br>
d. When you stop Snort, what do the verdict statistics show?<br>
<br>
Please when you send/reply do so for the whole group as there are awesome people here that are more experienced than I am, and other people benefit as well.<br>
<br>
Thanks.<br>
YM</div>
</div>
</div><div dir="ltr">
<hr>
<span style="FONT-SIZE:11pt;FONT-FAMILY:Calibri,sans-serif;FONT-WEIGHT:bold">From:
</span><span style="FONT-SIZE:11pt;FONT-FAMILY:Calibri,sans-serif"><a href="mailto:gadmin@...16076..." target="_blank">Okeowo, Ayo</a></span><br>
<span style="FONT-SIZE:11pt;FONT-FAMILY:Calibri,sans-serif;FONT-WEIGHT:bold">Sent:
</span><span style="FONT-SIZE:11pt;FONT-FAMILY:Calibri,sans-serif">2/10/2013 7:38 PM</span><div><div class="h5"><div><div><br>
<span style="FONT-SIZE:11pt;FONT-FAMILY:Calibri,sans-serif;FONT-WEIGHT:bold">To:
</span><span style="FONT-SIZE:11pt;FONT-FAMILY:Calibri,sans-serif"><a href="mailto:snort@...15979..." target="_blank">Y M</a></span><br>
<span style="FONT-SIZE:11pt;FONT-FAMILY:Calibri,sans-serif;FONT-WEIGHT:bold">Subject:
</span><span style="FONT-SIZE:11pt;FONT-FAMILY:Calibri,sans-serif">Re: [Snort-users] Snort in Inline Mode on CentOS 6.3</span><br>
<br>
</div></div></div></div></div><div><div class="h5"><div><div>
<div>YM,
<div><br>
</div>
<div>Sorry I'm just getting back to you after I posted my question. I've been able to add additional 1 more interface and the 2 interfaces are now in promiscuous mode. I've confirmed there are packets traversing the interfaces but my rule is not dropping any
 traffic request to let's say port 80 and 443.</div>
<div><br>
</div>
<div>What could I be possibly be missing? Still looking through though to see if I find anything that could be causing the issue.</div>
<div><br>
</div>
<div>Your response will be much appreciated. <br>
<br>
<div>On Wed, Feb 6, 2013 at 10:56 AM, Y M <span dir="ltr"><<a href="mailto:snort@...15979..." target="_blank">snort@...15979...</a>></span> wrote:<br>
<blockquote style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<div>
<div>
<div style="font-size:11pt;font-family:Calibri,sans-serif">It will be largely dependant on the output plugin you are using. In case of Snorby, although I don't use it, will eventually read from a database; MySQL. In this case, it is a practice to let Snort
 output to unified2, and let barnyard2 parse unfied2 logs into the database, from which Snorby will read data.<br>
<br>
Hope you get your setup done.<br>
<br>
YM</div>
</div>
<div dir="ltr">
<hr>
<span style="font-size:11pt;font-family:Calibri,sans-serif;font-weight:bold">From:
</span><span style="font-size:11pt;font-family:Calibri,sans-serif"><a href="mailto:gadmin@...16076..." target="_blank">Okeowo, Ayo</a></span><br>
<span style="font-size:11pt;font-family:Calibri,sans-serif;font-weight:bold">Sent:
</span><span style="font-size:11pt;font-family:Calibri,sans-serif">2/6/2013 6:43 PM</span><br>
<span style="font-size:11pt;font-family:Calibri,sans-serif;font-weight:bold">To:
</span><span style="font-size:11pt;font-family:Calibri,sans-serif"><a href="mailto:snort@...15979..." target="_blank">Y M</a></span><br>
<span style="font-size:11pt;font-family:Calibri,sans-serif;font-weight:bold">Subject:
</span><span style="font-size:11pt;font-family:Calibri,sans-serif">Re: [Snort-users] Snort in Inline Mode on CentOS 6.3</span><br>
<br>
</div>
<div>
<div>
<div>YM,<br>
<br>
Thanks for the response. I would have never have thought of increasing my interfaces (virtual interfaces) to 3 to make it work. I will try that when I get home and let you know.<br>
<br>
So this will allow my drop and alert rules to pop-up on Snorby? Once it works I will then go ahead and configure preprocessor etc.
<br>
<br>
And I also hope to combine my command line with --alert-before-pass switch.<br>
<br>
<div>On Wed, Feb 6, 2013 at 10:28 AM, Y M <span dir="ltr"><<a href="mailto:snort@...15979..." target="_blank">snort@...15979...</a>></span> wrote:<br>
<blockquote style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<div>
<div>
<div style="font-size:11pt;font-family:Calibri,sans-serif">You will need 3 interfaces. Two will be in transparent mode and the third will be used for management. When you run Snort in inline mode, you would use, for example: -i eth0:eth1, or the bridge if
 you will be using a bridge and eth3 for management.<br>
<br>
YM</div>
</div>
<div dir="ltr">
<hr>
<span style="font-size:11pt;font-family:Calibri,sans-serif;font-weight:bold">From:
</span><span style="font-size:11pt;font-family:Calibri,sans-serif"><a href="mailto:gadmin@...16076..." target="_blank">Okeowo, Ayo</a></span><br>
<span style="font-size:11pt;font-family:Calibri,sans-serif;font-weight:bold">Sent:
</span><span style="font-size:11pt;font-family:Calibri,sans-serif">2/6/2013 6:22 PM</span><br>
<span style="font-size:11pt;font-family:Calibri,sans-serif;font-weight:bold">To:
</span><span style="font-size:11pt;font-family:Calibri,sans-serif"><a href="mailto:snort-users@lists.sourceforge.net" target="_blank">snort-users@lists.sourceforge.net</a></span><br>
<span style="font-size:11pt;font-family:Calibri,sans-serif;font-weight:bold">Subject:
</span><span style="font-size:11pt;font-family:Calibri,sans-serif">[Snort-users] Snort in Inline Mode on CentOS 6.3</span><br>
<br>
</div>
<div>
<div>
<div>Hello Folks,<br>
<br>
Has anyone successfully setup Snort 2.9.4 on CentOS 6.3 with functioning IPS(Inline Mode) using 2 interfaces (1 for sniffing traffic and 2nd for management)?<br>
<br>
I'm having a few issues, although I haven't sat down to address it yet due to my day job sucking my time. The first issue is, if I use 1 interface and put Snort to Inline Mode, my drop rules don't work. Second, if I use 2 interfaces, both Alert and Drop rules
 cease to work and I get nothing on Snorby.<br>
<br>
Any insight to this issue will be appreciated. Like I said I haven't sat down to troubleshoot this issue but your response will help.<br>
<br>
Thanks.<br>
Ayo<br>
</div>
</div>
</div>
</div>
</blockquote>
</div>
<br>
</div>
</div>
</div>
</div>
</blockquote>
</div>
<br>
</div>
</div>
</div></div></div></div></div>

</blockquote></div><br>
</div><br>