Made a little progress. the rule now shows as an alert both in my snort alert and snorby but I snot blocking anything. I will write a simple rule to block icmp and udp then will see what happens.<br><br><div class="gmail_quote">
On Sun, Feb 10, 2013 at 12:40 PM, Y M <span dir="ltr"><<a href="mailto:snort@...15979..." target="_blank">snort@...15979...</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">




<div>
<div>
<div style="FONT-SIZE:11pt;FONT-FAMILY:Calibri,sans-serif">Sorry I overlooked your verdicts:<br>
<br>
"Block:          640 (  0.008%)"<br>
<br>
Which means Snort has blocked 640 packets out all the packets Snort analyzed.<br>
<br>
I would start testing on more simple rules, like the icmp-protocol ping and then move on to more complex rules.<br>
<br>
YM</div>
</div>
<div dir="ltr">
<hr>
<span style="FONT-SIZE:11pt;FONT-FAMILY:Calibri,sans-serif;FONT-WEIGHT:bold">From:
</span><span style="FONT-SIZE:11pt;FONT-FAMILY:Calibri,sans-serif"><a href="mailto:gadmin@...16076..." target="_blank">Okeowo, Ayo</a></span><br>
<span style="FONT-SIZE:11pt;FONT-FAMILY:Calibri,sans-serif;FONT-WEIGHT:bold">Sent:
</span><span style="FONT-SIZE:11pt;FONT-FAMILY:Calibri,sans-serif">2/10/2013 8:30 PM</span><br>
<span style="FONT-SIZE:11pt;FONT-FAMILY:Calibri,sans-serif;FONT-WEIGHT:bold">To:
</span><span style="FONT-SIZE:11pt;FONT-FAMILY:Calibri,sans-serif"><a href="mailto:snort@...15979..." target="_blank">Y M</a></span><br>
<span style="FONT-SIZE:11pt;FONT-FAMILY:Calibri,sans-serif;FONT-WEIGHT:bold">Cc:
</span><span style="FONT-SIZE:11pt;FONT-FAMILY:Calibri,sans-serif"><a href="mailto:snort-users@lists.sourceforge.net" target="_blank">Snort Users</a></span><div><div class="h5"><br>
<span style="FONT-SIZE:11pt;FONT-FAMILY:Calibri,sans-serif;FONT-WEIGHT:bold">Subject:
</span><span style="FONT-SIZE:11pt;FONT-FAMILY:Calibri,sans-serif">Re: [Snort-users] Snort in Inline Mode on CentOS 6.3</span><br>
<br>
</div></div></div><div><div class="h5">
<div>No, I haven't added the switch to my command line. Let me try that and will let you know.<br>
<br>
<div>On Sun, Feb 10, 2013 at 12:28 PM, Y M <span dir="ltr">
<<a href="mailto:snort@...15979..." target="_blank">snort@...16002....</a>></span> wrote:<br>
<blockquote style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<div>
<div>
<div style="font-size:11pt;font-family:Calibri,sans-serif">Have you tried adding --daq-mode inline in your command?<br>
<br>
YM</div>
</div>
<div dir="ltr">
<hr>
<span style="font-size:11pt;font-family:Calibri,sans-serif;font-weight:bold">From:
</span><span style="font-size:11pt;font-family:Calibri,sans-serif"><a href="mailto:gadmin@...16076..." target="_blank">Okeowo, Ayo</a></span><br>
<span style="font-size:11pt;font-family:Calibri,sans-serif;font-weight:bold">Sent:
</span><span style="font-size:11pt;font-family:Calibri,sans-serif">2/10/2013 8:12 PM</span><br>
<span style="font-size:11pt;font-family:Calibri,sans-serif;font-weight:bold">To:
</span><span style="font-size:11pt;font-family:Calibri,sans-serif"><a href="mailto:snort@...15979..." target="_blank">Y M</a>;
<a href="mailto:snort-users@lists.sourceforge.net" target="_blank">snort-users@lists.sourceforge.net</a></span><br>
<span style="font-size:11pt;font-family:Calibri,sans-serif;font-weight:bold">Subject:
</span><span style="font-size:11pt;font-family:Calibri,sans-serif">Fwd: [Snort-users] Snort in Inline Mode on CentOS 6.3</span><br>
<br>
</div>
<div>
<div>
<div><br>
<br>
<div>---------- Forwarded message ----------<br>
From: <b>Okeowo, Ayo</b> <span dir="ltr"><<a href="mailto:gadmin@...979...16076..." target="_blank">gadmin@...16076...</a>></span><br>
Date: Sun, Feb 10, 2013 at 12:11 PM<br>
Subject: Re: [Snort-users] Snort in Inline Mode on CentOS 6.3<br>
To: Y M <<a href="mailto:snort@...15979..." target="_blank">snort@...846....15979...</a>><br>
<br>
<br>
<div>Below is what I have.</div>
<div><br>
</div>
<div><br>
</div>
<div>{Q1::Answer}</div>
<div>my snort command is:-</div>
<div>snort -c /etc/snort/snort.conf --daq afpacket -i eth0:eth2 -Q -A console</div>
<div><br>
</div>
<div>{Q2::Answer}</div>
<div>I'm using DAQ mode: --daq afpacket</div>
<div><br>
</div>
<div>{Q3::Answer - drop rule reside in the local.rules}</div>
<div>drop tcp $HOME_NET any -> $EXTERNAL_NET [80,443] (msg:"Block Web Traffic from Outside"; classtype:web-application-attack; metadata:service http; flow:established,to_</div>
<div>server; sid:1000008; rev:2;)</div>
<div><br>
</div>
<div>{Q4::Answer}</div>
<div>Verdicts:</div>
<div>      Allow:      8115288 ( 98.956%)</div>
<div>      Block:          640 (  0.008%)</div>
<div>    Replace:          252 (  0.003%)</div>
<div>  Whitelist:            0 (  0.000%)</div>
<div>  Blacklist:           37 (  0.000%)</div>
<div>     Ignore:            0 (  0.000%)</div>
<div><br>
</div>
<br>
<div>
<div>On Sun, Feb 10, 2013 at 11:54 AM, Y M <span dir="ltr"><<a href="mailto:snort@...15979..." target="_blank">snort@...15979...</a>></span> wrote:<br>
</div>
<blockquote style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<div>
<div>
<div>
<div style="font-size:11pt;font-family:Calibri,sans-serif">a. How are you running Snort? In other words, what is the command you are using to run Snort?<br>
<br>
b. Which DAQ are you using?<br>
<br>
c. How is your drop rule setup?<br>
<br>
d. When you stop Snort, what do the verdict statistics show?<br>
<br>
Please when you send/reply do so for the whole group as there are awesome people here that are more experienced than I am, and other people benefit as well.<br>
<br>
Thanks.<br>
YM</div>
</div>
</div>
<div dir="ltr">
<hr>
<span style="font-size:11pt;font-family:Calibri,sans-serif;font-weight:bold">From:
</span><span style="font-size:11pt;font-family:Calibri,sans-serif"><a href="mailto:gadmin@...16076..." target="_blank">Okeowo, Ayo</a></span><br>
<span style="font-size:11pt;font-family:Calibri,sans-serif;font-weight:bold">Sent:
</span><span style="font-size:11pt;font-family:Calibri,sans-serif">2/10/2013 7:38 PM</span>
<div>
<div>
<div>
<div><br>
<span style="font-size:11pt;font-family:Calibri,sans-serif;font-weight:bold">To:
</span><span style="font-size:11pt;font-family:Calibri,sans-serif"><a href="mailto:snort@...15979..." target="_blank">Y M</a></span><br>
<span style="font-size:11pt;font-family:Calibri,sans-serif;font-weight:bold">Subject:
</span><span style="font-size:11pt;font-family:Calibri,sans-serif">Re: [Snort-users] Snort in Inline Mode on CentOS 6.3</span><br>
<br>
</div>
</div>
</div>
</div>
</div>
<div>
<div>
<div>
<div>
<div>YM,
<div><br>
</div>
<div>Sorry I'm just getting back to you after I posted my question. I've been able to add additional 1 more interface and the 2 interfaces are now in promiscuous mode. I've confirmed there are packets traversing the interfaces but my rule is not dropping any
 traffic request to let's say port 80 and 443.</div>
<div><br>
</div>
<div>What could I be possibly be missing? Still looking through though to see if I find anything that could be causing the issue.</div>
<div><br>
</div>
<div>Your response will be much appreciated. <br>
<br>
<div>On Wed, Feb 6, 2013 at 10:56 AM, Y M <span dir="ltr"><<a href="mailto:snort@...15979..." target="_blank">snort@...15979...</a>></span> wrote:<br>
<blockquote style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<div>
<div>
<div style="font-size:11pt;font-family:Calibri,sans-serif">It will be largely dependant on the output plugin you are using. In case of Snorby, although I don't use it, will eventually read from a database; MySQL. In this case, it is a practice to let Snort
 output to unified2, and let barnyard2 parse unfied2 logs into the database, from which Snorby will read data.<br>
<br>
Hope you get your setup done.<br>
<br>
YM</div>
</div>
<div dir="ltr">
<hr>
<span style="font-size:11pt;font-family:Calibri,sans-serif;font-weight:bold">From:
</span><span style="font-size:11pt;font-family:Calibri,sans-serif"><a href="mailto:gadmin@...16076..." target="_blank">Okeowo, Ayo</a></span><br>
<span style="font-size:11pt;font-family:Calibri,sans-serif;font-weight:bold">Sent:
</span><span style="font-size:11pt;font-family:Calibri,sans-serif">2/6/2013 6:43 PM</span><br>
<span style="font-size:11pt;font-family:Calibri,sans-serif;font-weight:bold">To:
</span><span style="font-size:11pt;font-family:Calibri,sans-serif"><a href="mailto:snort@...15979..." target="_blank">Y M</a></span><br>
<span style="font-size:11pt;font-family:Calibri,sans-serif;font-weight:bold">Subject:
</span><span style="font-size:11pt;font-family:Calibri,sans-serif">Re: [Snort-users] Snort in Inline Mode on CentOS 6.3</span><br>
<br>
</div>
<div>
<div>
<div>YM,<br>
<br>
Thanks for the response. I would have never have thought of increasing my interfaces (virtual interfaces) to 3 to make it work. I will try that when I get home and let you know.<br>
<br>
So this will allow my drop and alert rules to pop-up on Snorby? Once it works I will then go ahead and configure preprocessor etc.
<br>
<br>
And I also hope to combine my command line with --alert-before-pass switch.<br>
<br>
<div>On Wed, Feb 6, 2013 at 10:28 AM, Y M <span dir="ltr"><<a href="mailto:snort@...15979..." target="_blank">snort@...15979...</a>></span> wrote:<br>
<blockquote style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<div>
<div>
<div style="font-size:11pt;font-family:Calibri,sans-serif">You will need 3 interfaces. Two will be in transparent mode and the third will be used for management. When you run Snort in inline mode, you would use, for example: -i eth0:eth1, or the bridge if
 you will be using a bridge and eth3 for management.<br>
<br>
YM</div>
</div>
<div dir="ltr">
<hr>
<span style="font-size:11pt;font-family:Calibri,sans-serif;font-weight:bold">From:
</span><span style="font-size:11pt;font-family:Calibri,sans-serif"><a href="mailto:gadmin@...16076..." target="_blank">Okeowo, Ayo</a></span><br>
<span style="font-size:11pt;font-family:Calibri,sans-serif;font-weight:bold">Sent:
</span><span style="font-size:11pt;font-family:Calibri,sans-serif">2/6/2013 6:22 PM</span><br>
<span style="font-size:11pt;font-family:Calibri,sans-serif;font-weight:bold">To:
</span><span style="font-size:11pt;font-family:Calibri,sans-serif"><a href="mailto:snort-users@lists.sourceforge.net" target="_blank">snort-users@lists.sourceforge.net</a></span><br>
<span style="font-size:11pt;font-family:Calibri,sans-serif;font-weight:bold">Subject:
</span><span style="font-size:11pt;font-family:Calibri,sans-serif">[Snort-users] Snort in Inline Mode on CentOS 6.3</span><br>
<br>
</div>
<div>
<div>
<div>Hello Folks,<br>
<br>
Has anyone successfully setup Snort 2.9.4 on CentOS 6.3 with functioning IPS(Inline Mode) using 2 interfaces (1 for sniffing traffic and 2nd for management)?<br>
<br>
I'm having a few issues, although I haven't sat down to address it yet due to my day job sucking my time. The first issue is, if I use 1 interface and put Snort to Inline Mode, my drop rules don't work. Second, if I use 2 interfaces, both Alert and Drop rules
 cease to work and I get nothing on Snorby.<br>
<br>
Any insight to this issue will be appreciated. Like I said I haven't sat down to troubleshoot this issue but your response will help.<br>
<br>
Thanks.<br>
Ayo<br>
</div>
</div>
</div>
</div>
</blockquote>
</div>
<br>
</div>
</div>
</div>
</div>
</blockquote>
</div>
<br>
</div>
</div>
</div>
</div>
</div>
</div>
</div>
</blockquote>
</div>
<br>
</div>
<br>
</div>
</div>
</div>
</div>
</blockquote>
</div>
<br>
</div>
</div></div></div>

</blockquote></div><br>