<span style='font-family:Verdana'><span style='font-size:12px'><div>Hi @snort-users,</div><div> </div><div>I'm trying to run snort as an IPS under OpenBSD 5.3-current.</div><div>I see packets which are diverted by PF on snort and also at alert file.</div><div>But snort doesn't drop packets although it matches with rules; only logs to alert file.</div><div>I supply my config files and logs. Also i can send anything releated with this issue. </div><div> </div><div>Snort config</div><div>http://88.198.38.215/lteo/snort.conf</div><div> </div><div># cat /etc/rc.d/snort</div><div> </div><div>#!/bin/sh</div><div>#</div><div># $OpenBSD: snort.rc,v 1.1 2012/10/11 02:40:48 lteo Exp $</div><div> </div><div>daemon="/usr/local/bin/snort -D -Q -k none"</div><div>daemon_flags="-c /etc/snort/snort.conf -u root -g wheel -t /var/snort -l /var/snort/log"</div><div> </div><div>. /etc/rc.d/rc.subr</div><div> </div><div>rc_cmd $1</div><div> </div><div> </div><div># cat /etc/snort/rules/custom.rules</div><div> </div><div>drop icmp any any -> any any (msg:"ICMP Testing Rule"; sid:1000001; rev:1;)</div><div>drop tcp any any -> any 80 (msg:"TCP Testing Rule"; sid:1000002; rev:1;)</div><div> </div><div>Alert file</div><div>http://88.198.38.215/lteo/alert</div><div> </div><div> </div><div># uname -a</div><div>OpenBSD snort.test.com 5.3 GENERIC.MP#127 i386</div><div> </div><div># snort --daq-dir /usr/local/lib/daq/ --daq-list</div><div>Available DAQ modules:</div><div>pcap(v3): readback live multi unpriv</div><div>ipfw(v2): live inline multi unpriv</div><div>dump(v1): readback live inline multi unpriv</div><div> </div><div># snort -V</div><div> </div><div>   ,,_     -*> Snort! <*-</div><div>  o"  )~   Version 2.9.4.1 GRE (Build 69)</div><div>   ''''    By Martin Roesch & The Snort Team: http://www.snort.org/snort/snort-team</div><div>           Copyright (C) 1998-2013 Sourcefire, Inc., et al.</div><div>           Using OpenBSD libpcap</div><div>           Using PCRE version: 8.32 2012-11-30</div><div>           Using ZLIB version: 1.2.3</div><div> </div><div>Can anyone help with this issue please?</div><div> </div><div>--</div><div>Best regards</div><div>Driton Belushi</div></span></span>