If you only have 2 interfaces, you will need 3 interfaces where one interface will have an IP address configured on it for management (no promisc) and the other 2 will not have any IP address configuration on them and they will need to be in Promisc modes.<br>
<br>if you eventually have 3 interfaces up and configured, use the below command as referenced in Snort Manual.<br><br><pre><font size="4"><span style="font-family:tahoma,sans-serif">snort </span><span style="font-family:tahoma,sans-serif"><span style="font-family:tahoma,sans-serif">-c /etc/snort/snort.conf </span>-u snort -g snort --daq afpacket -i eth<font size="4">2</font>:eth<font size="4">3</font> -Q</span></font><br>
</pre>Replace the interfaces with the ones that corresponds with your interfaces. Hope this helps.<br>{read more on DAQ modes and types - <a href="http://vrt-blog.snort.org/2010/08/snort-29-essentials-daq.html">http://vrt-blog.snort.org/2010/08/snort-29-essentials-daq.html</a>}<br>
<br clear="all"><div>Ayo</div>
<br><br><div class="gmail_quote">On Tue, Feb 19, 2013 at 7:54 AM, Ayodele Okeowo <span dir="ltr"><<a href="mailto:aymacro@...11827..." target="_blank">aymacro@...11827...</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Ok, to run Snort in inline mode your snort command will look different. How many interfaces do you have on your box?<br><br clear="all"><div>Ayo</div><div class="HOEnZb"><div class="h5">
<br><br><div class="gmail_quote">On Tue, Feb 19, 2013 at 7:29 AM, Kaushal Shriyan <span dir="ltr"><<a href="mailto:kaushalshriyan@...11827..." target="_blank">kaushalshriyan@...11827...</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

<br><br><div class="gmail_quote"><div>On Tue, Feb 19, 2013 at 5:54 PM, Ayodele Okeowo <span dir="ltr"><<a href="mailto:aymacro@...11827..." target="_blank">aymacro@...11827...</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">



What command do you type when running snort in inline? You will have to pair both interfaces in order to use both for sniffing.<br><br>Paste your command on here and let's see. :)<br><br clear="all"><div>Ayo</div><div>



<div>
<br></div></div></blockquote><div><br></div></div><div>Thanks Ayo for the quick reply and i start snort using init script on CentOS 5.8 with the below mentioned details </div><div><div><br></div><div>[root@...2306... ~]# /etc/init.d/snortd status</div>



<div>snort (pid 17573) is running...</div><div><div>[root@...2306... ~]# ps aux | grep snort</div><div>snort    17573  0.0  0.2 417000 71064 ?        Ssl  17:21   0:00 /usr/sbin/snort -A fast -b -d -D -i eth2 -u snort -g snort -c /etc/snort/snort.conf -l /var/log/snort</div>



</div><div>root     17647  0.0  0.0  61172   752 pts/0    S+   17:58   0:00 grep snort</div><div>[root@...2306... ~]#</div></div><div><br></div><div>Regards</div><span><font color="#888888"><div><br></div><div>
Kaushal</div><div><br></div></font></span></div>
</blockquote></div><br>
</div></div></blockquote></div><br>