Unfortunately, I responded to the last thread that showed up on my phone, then I found out you solved the problem after I've hit sent. :)<br><br>Glad it's working for you Josh. Enjoy the rest of your day as well.<br>
<br clear="all"><div>Ayo</div>
<br><br><div class="gmail_quote">On Fri, Feb 15, 2013 at 11:09 AM, Josh Bitto <span dir="ltr"><<a href="mailto:jbitto@...16055..." target="_blank">jbitto@...16055...</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<div link="blue" vlink="purple" lang="EN-US"><div><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">I actually resolved this…but since its Friday and you might not enjoy the rest of your life without knowing this. :P<u></u><u></u></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">We are using proxmox virtual environment with a pfsense firewall…..so all my interfaces are created through that……Turns out I did everything correctly I was just being a noob on triggering events.<u></u><u></u></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"><u></u> <u></u></span></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"><u></u> <u></u></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"><u></u> <u></u></span></p><p class="MsoNormal"><b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif"">From:</span></b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif""> Ayodele Okeowo [mailto:<a href="mailto:aymacro@...11827..." target="_blank">aymacro@...11827...</a>] <br>
<b>Sent:</b> Friday, February 15, 2013 5:54 AMA<br><b>To:</b> Josh Bitto<br><b>Cc:</b> <a href="mailto:snort-users@lists.sourceforge.net" target="_blank">snort-users@lists.sourceforge.net</a><br><b>Subject:</b> Re: [Snort-users] Snort and my VLANs<u></u><u></u></span></p>
<div><div class="h5"><p class="MsoNormal"><u></u> <u></u></p><p class="MsoNormal">Josh,<br><br>YM is right, you will need a distributed IDS to do this, however, what you can do is, place your Sensor in a specific VLAN, and then assign that VLAN to the egress interface of your Core switch or edge router before traffic cross over to the Internet. This way you would be able to sense and drop any packets.<br>
<br>And if you want to capture/sniff packets per VLAN, create a port mirroring on a VLAN, then assign that VLAN to the interface where your IDS is plugged to. All traffic will be mirrored to this interface so you can monitor them on your IDS.<br>
<br>Are your devices Ciscos or Juniper or mixed environment?<br><br clear="all"><u></u><u></u></p><div><p class="MsoNormal">Ayo<u></u><u></u></p></div><p class="MsoNormal" style="margin-bottom:12.0pt"><u></u> <u></u></p><div>
<p class="MsoNormal">On Thu, Feb 14, 2013 at 4:56 PM, Josh Bitto <<a href="mailto:jbitto@...16055..." target="_blank">jbitto@...16055...</a>> wrote:<u></u><u></u></p><div><div><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">I’m having issues where I am not able to determine if I can actually catch bad traffic with snort.</span><u></u><u></u></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"> </span><u></u><u></u></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">Right now I have snort in a test lab where I have interfaces WAN, LAN….and then my VLANS. My firewall does all the routing and has the vlans setup. So when I go to <a href="http://testmyids.com" target="_blank">testmyids.com</a> and trigger a rule I get the rule triggered on my WAN interface but not any of my VLANs……</span><u></u><u></u></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"> </span><u></u><u></u></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">Basically what I’m trying to initiate is if a user brings in a byod…I want to be able to detect anything on that machine when it connects to my internal vlan.</span><u></u><u></u></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"> </span><u></u><u></u></p></div></div><p class="MsoNormal"><br>------------------------------------------------------------------------------<br>
Free Next-Gen Firewall Hardware Offer<br>Buy your Sophos next-gen firewall before the end March 2013<br>and get the hardware for free! Learn more.<br><a href="http://p.sf.net/sfu/sophos-d2d-feb" target="_blank">http://p.sf.net/sfu/sophos-d2d-feb</a><br>
_______________________________________________<br>Snort-users mailing list<br><a href="mailto:Snort-users@lists.sourceforge.net" target="_blank">Snort-users@lists.sourceforge.net</a><br>Go to this URL to change user options or unsubscribe:<br>
<a href="https://lists.sourceforge.net/lists/listinfo/snort-users" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-users</a><br>Snort-users list archive:<br><a href="http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users" target="_blank">http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users</a><br>
<br>Please visit <a href="http://blog.snort.org" target="_blank">http://blog.snort.org</a> to stay current on all the latest Snort news!<u></u><u></u></p></div><p class="MsoNormal"><u></u> <u></u></p></div></div></div></div>
</blockquote></div><br>