<div dir="ltr"><div><div><div><div>Dear James,<br><br></div>May I know what is nfq?<br><br></div>After reading through your email, I still have no idea how to go about converting Snort from IDS to IPS.<br><br></div>Could you write a more detailed manual, covering every single step along the way?<br>
<br></div>Teo En Ming<br></div><div class="gmail_extra"><br><br><div class="gmail_quote">On Mon, Apr 7, 2014 at 11:19 PM, James Lay <span dir="ltr"><<a href="mailto:jlay@...13475..." target="_blank">jlay@...14942......</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">I've converted from IDS to IPS on a slackware box, so I thought I'd<br>
share how to get nfq working:<br>
<br>
install the below lib/dev<br>
libmnl<br>
libnfnetlink<br>
libnetfilter_queue<br>
recompile libdnet<br>
recompile daq<br>
recompile snort<br>
<br>
Specific to slackware I had to compile the lib* from source with:<br>
<br>
./configure --prefix=/usr --libdir=/usr/lib64<br>
<br>
Regardless of distro (I got this working with Ubuntu as well),<br>
recompiling libdnet AFTER installing the new lib* packages above is the<br>
secret to getting snort to see nfq....even though daq ./configure may<br>
show you have everything:<br>
<br>
Build AFPacket DAQ module.. : yes<br>
Build Dump DAQ module...... : yes<br>
Build IPFW DAQ module...... : yes<br>
Build IPQ DAQ module....... : yes<br>
Build NFQ DAQ module....... : yes<br>
Build PCAP DAQ module...... : yes<br>
<br>
if you don't recompile libdnet after installing new libmnl,<br>
libnfnetlink, and libnetfilter_queue snort itself will not see nfq:<br>
<br>
Available DAQ modules:<br>
pcap(v3): readback live multi unpriv<br>
nfq(v7): live inline multi<br>
ipq(v6): live inline multi<br>
ipfw(v3): live inline multi unpriv<br>
dump(v2): readback live inline multi unpriv<br>
afpacket(v5): live inline multi unpriv<br>
<br>
Hope this will help those trying to get inline to work.  Also keep in<br>
mind that ipq is no longer supported with Ubuntu 13 and above.<br>
<br>
James<br>
<br>
<br>
------------------------------------------------------------------------------<br>
Put Bad Developers to Shame<br>
Dominate Development with Jenkins Continuous Integration<br>
Continuously Automate Build, Test & Deployment<br>
Start a new project now. Try Jenkins in the cloud.<br>
<a href="http://p.sf.net/sfu/13600_Cloudbees_APR" target="_blank">http://p.sf.net/sfu/13600_Cloudbees_APR</a><br>
_______________________________________________<br>
Snort-users mailing list<br>
<a href="mailto:Snort-users@lists.sourceforge.net">Snort-users@...4626...ceforge.net</a><br>
Go to this URL to change user options or unsubscribe:<br>
<a href="https://lists.sourceforge.net/lists/listinfo/snort-users" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-users</a><br>
Snort-users list archive:<br>
<a href="http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users" target="_blank">http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users</a><br>
<br>
Please visit <a href="http://blog.snort.org" target="_blank">http://blog.snort.org</a> to stay current on all the latest Snort news!<br>
</blockquote></div><br></div>