<span style='font-family:Verdana'><span style='font-size:12px'>Hello,<div> </div><div>Can we say that dropping packets feature of Snort under OpenBSD with inline ipfw daq is unsupported or buggy?</div><div>Thanks.</div><div> </div><div>--</div><div>Driton Belushi</div><div> <p style="margin:0px; padding:0px;" > </p><blockquote style="border-left: 1px solid #CCC; padding-left: 5px; margin-left: 5px; margin-bottom: 0px; margin-top: 0px; margin-right: 0px;" type="cite"><p style="margin:0px; padding:0px;" ><span style="font-family:Verdana"><span style="font-size:12px">----- Original Message -----</span></span></p><p style="margin:0px; padding:0px;" ><span style="font-family:Verdana"><span style="font-size:12px">From: Driton Belushi</span></span></p><p style="margin:0px; padding:0px;" ><span style="font-family:Verdana"><span style="font-size:12px">Sent: 04/19/13 08:07 PM</span></span></p><p style="margin:0px; padding:0px;" ><span style="font-family:Verdana"><span style="font-size:12px">To: snort-users@lists.sourceforge.net</span></span></p><p style="margin:0px; padding:0px;" ><span style="font-family:Verdana"><span style="font-size:12px">Subject: Snort/ipfw daq doesn't drop packets under OpenBSD</span></span></p> <div><div><span style="font-family:Verdana"><span style="font-size:12px">Hi @snort-users,</span></span></div><div><span style="font-family:Verdana"><span style="font-size:12px"> </span></span></div><div><span style="font-family:Verdana"><span style="font-size:12px">I'm trying to run snort as an IPS under OpenBSD 5.3-current.</span></span></div><div><span style="font-family:Verdana"><span style="font-size:12px">I see packets which are diverted by PF on snort and also at alert file.</span></span></div><div><span style="font-family:Verdana"><span style="font-size:12px">But snort doesn't drop packets although it matches with rules; only logs to alert file.</span></span></div><div><span style="font-family:Verdana"><span style="font-size:12px">I supply my config files and logs. Also i can send anything releated with this issue. </span></span></div><div><span style="font-family:Verdana"><span style="font-size:12px"> </span></span></div><div><span style="font-family:Verdana"><span style="font-size:12px">Snort config</span></span></div><div><span style="font-family:Verdana"><span style="font-size:12px">http://88.198.38.215/lteo/snort.conf</span></span></div><div><span style="font-family:Verdana"><span style="font-size:12px"> </span></span></div><div><span style="font-family:Verdana"><span style="font-size:12px"># cat /etc/rc.d/snort</span></span></div><div><span style="font-family:Verdana"><span style="font-size:12px"> </span></span></div><div><span style="font-family:Verdana"><span style="font-size:12px">#!/bin/sh</span></span></div><div><span style="font-family:Verdana"><span style="font-size:12px">#</span></span></div><div><span style="font-family:Verdana"><span style="font-size:12px"># $OpenBSD: snort.rc,v 1.1 2012/10/11 02:40:48 lteo Exp $</span></span></div><div><span style="font-family:Verdana"><span style="font-size:12px"> </span></span></div><div><span style="font-family:Verdana"><span style="font-size:12px">daemon="/usr/local/bin/snort -D -Q -k none"</span></span></div><div><span style="font-family:Verdana"><span style="font-size:12px">daemon_flags="-c /etc/snort/snort.conf -u root -g wheel -t /var/snort -l /var/snort/log"</span></span></div><div><span style="font-family:Verdana"><span style="font-size:12px"> </span></span></div><div><span style="font-family:Verdana"><span style="font-size:12px">. /etc/rc.d/rc.subr</span></span></div><div><span style="font-family:Verdana"><span style="font-size:12px"> </span></span></div><div><span style="font-family:Verdana"><span style="font-size:12px">rc_cmd $1</span></span></div><div><span style="font-family:Verdana"><span style="font-size:12px"> </span></span></div><div><span style="font-family:Verdana"><span style="font-size:12px"> </span></span></div><div><span style="font-family:Verdana"><span style="font-size:12px"># cat /etc/snort/rules/custom.rules</span></span></div><div><span style="font-family:Verdana"><span style="font-size:12px"> </span></span></div><div><span style="font-family:Verdana"><span style="font-size:12px">drop icmp any any -> any any (msg:"ICMP Testing Rule"; sid:1000001; rev:1;)</span></span></div><div><span style="font-family:Verdana"><span style="font-size:12px">drop tcp any any -> any 80 (msg:"TCP Testing Rule"; sid:1000002; rev:1;)</span></span></div><div><span style="font-family:Verdana"><span style="font-size:12px"> </span></span></div><div><span style="font-family:Verdana"><span style="font-size:12px">Alert file</span></span></div><div><span style="font-family:Verdana"><span style="font-size:12px">http://88.198.38.215/lteo/alert</span></span></div><div><span style="font-family:Verdana"><span style="font-size:12px"> </span></span></div><div><span style="font-family:Verdana"><span style="font-size:12px"> </span></span></div><div><span style="font-family:Verdana"><span style="font-size:12px"># uname -a</span></span></div><div><span style="font-family:Verdana"><span style="font-size:12px">OpenBSD snort.test.com 5.3 GENERIC.MP#127 i386</span></span></div><div><span style="font-family:Verdana"><span style="font-size:12px"> </span></span></div><div><span style="font-family:Verdana"><span style="font-size:12px"># snort --daq-dir /usr/local/lib/daq/ --daq-list</span></span></div><div><span style="font-family:Verdana"><span style="font-size:12px">Available DAQ modules:</span></span></div><div><span style="font-family:Verdana"><span style="font-size:12px">pcap(v3): readback live multi unpriv</span></span></div><div><span style="font-family:Verdana"><span style="font-size:12px">ipfw(v2): live inline multi unpriv</span></span></div><div><span style="font-family:Verdana"><span style="font-size:12px">dump(v1): readback live inline multi unpriv</span></span></div><div><span style="font-family:Verdana"><span style="font-size:12px"> </span></span></div><div><span style="font-family:Verdana"><span style="font-size:12px"># snort -V</span></span></div><div><span style="font-family:Verdana"><span style="font-size:12px"> </span></span></div><div><span style="font-family:Verdana"><span style="font-size:12px">   ,,_     -*> Snort! <*-</span></span></div><div><span style="font-family:Verdana"><span style="font-size:12px">  o"  )~   Version 2.9.4.1 GRE (Build 69)</span></span></div><div><span style="font-family:Verdana"><span style="font-size:12px">   ''''    By Martin Roesch & The Snort Team: http://www.snort.org/snort/snort-team</span></span></div><div><span style="font-family:Verdana"><span style="font-size:12px">           Copyright (C) 1998-2013 Sourcefire, Inc., et al.</span></span></div><div><span style="font-family:Verdana"><span style="font-size:12px">           Using OpenBSD libpcap</span></span></div><div><span style="font-family:Verdana"><span style="font-size:12px">           Using PCRE version: 8.32 2012-11-30</span></span></div><div><span style="font-family:Verdana"><span style="font-size:12px">           Using ZLIB version: 1.2.3</span></span></div><div><span style="font-family:Verdana"><span style="font-size:12px"> </span></span></div><div><span style="font-family:Verdana"><span style="font-size:12px">Can anyone help with this issue please?</span></span></div><div><span style="font-family:Verdana"><span style="font-size:12px"> </span></span></div><div><span style="font-family:Verdana"><span style="font-size:12px">--</span></span></div><div><span style="font-family:Verdana"><span style="font-size:12px">Best regards</span></span></div><div><span style="font-family:Verdana"><span style="font-size:12px">Driton Belushi</span></span></div></div></blockquote><p style="margin:0px; padding:0px;" > </p></div></span></span>