<html><head><meta http-equiv="content-type" content="text/html; charset=utf-8"></head><body dir="auto"><div>Hello</div><div><br></div><div>I've started my snort.conf from scratch and have an error 249 snort couldn't start dynamic module path dynamic rules</div><div>I've took the rules out n # them n that still produces the error where may I find this file I have downloaded snort and the ruleset again and can't find the dynamic rules</div><div><br></div><div>Thanks</div><div>Rameez </div><div><br>Sent from my iPhone</div><div><br>On 10 Apr 2014, at 05:20 AM, "Y M" <<a href="mailto:snort@...15979...">snort@...15979...</a>> wrote:<br><br></div><blockquote type="cite"><div>

<style><!--
.hmmessage P
{
margin:0px;
padding:0px
}
body.hmmessage
{
font-size: 12pt;
font-family:Calibri
}
--></style>
<div dir="ltr">line 540 from your snort.conf file says:<br> <br>include $RULE_PATH/usr/src/rulesfile-identify.rules<br> <br>It is missing the "/" after the "rules", compared to the other include statements. Another note is that since your RULE_PATH variable is defined at the beginning of your snort.conf file, you just simply append the rule name to that variable, for example:<br> <br>RULE_PATH /path/to/rules/<br> <br>then your include statement would look something like:<br> <br>include $RULE_PATH/local.rules<br> <br><div><hr id="stopSpelling">From: <a href="mailto:rameez_q@...16117...">rameez_q@...16117...</a><br>To: <a href="mailto:wkitty42@...14940...">wkitty42@...14940...</a><br>Date: Thu, 10 Apr 2014 01:59:04 +0100<br>CC: <a href="mailto:snort-users@lists.sourceforge.net">snort-users@lists.sourceforge.net</a><br>Subject: Re: [Snort-users] FW: AW: Libovar Man info.<br><br>

<style><!--
.ExternalClass .ecxhmmessage P {
padding:0px;
}

.ExternalClass body.ecxhmmessage {
font-size:12pt;
font-family:Calibri;
}

--></style>
<div dir="ltr">the error I get is as follows:<br><br>root@...11994...:/usr/src# snort -dev -l ./log -h 192.168.0.10/24 -c snort.conf<br>Running in IDS mode<br><br>        --== Initializing Snort ==--<br>Initializing Output Plugins!<br>Initializing Preprocessors!<br>Initializing Plug-ins!<br>Parsing Rules file "snort.conf"<br>PortVar 'HTTP_PORTS' defined :  [ 36 80:90 311 383 555 591 593 631 801 808 818 901 972 1158 1220 1414 1533 1741 1830 2231 2301 2381 2809 3029 3037 3057 3128 3443 3702 4000 4343 4848 5117 5250 6080 6173 6988 7000:7001 7071 7144:7145 7510 7770 7777 7779 8000 8008 8014 8028 8080:8082 8085 8088 8090 8118 8123 8180:8181 8222 8243 8280 8300 8500 8509 8800 8888 8899 9000 9060 9080 9090:9091 9111 9443 9999:10000 11371 12601 15489 29991 33300 34412 34443:34444 41080 44449 50000 50002 51423 53331 55252 55555 56712 ]<br>PortVar 'SHELLCODE_PORTS' defined :  [ 0:79 81:65535 ]<br>PortVar 'ORACLE_PORTS' defined :  [ 1024:65535 ]<br>PortVar 'SSH_PORTS' defined :  [ 22 ]<br>PortVar 'FTP_PORTS' defined :  [ 21 2100 3535 ]<br>PortVar 'SIP_PORTS' defined :  [ 5060:5061 5600 ]<br>PortVar 'FILE_DATA_PORTS' defined :  [ 36 80:90 110 143 311 383 555 591 593 631 801 808 818 901 972 1158 1220 1414 1533 1741 1830 2231 2301 2381 2809 3029 3037 3057 3128 3443 3702 4000 4343 4848 5117 5250 6080 6173 6988 7000:7001 7071 7144:7145 7510 7770 7777 7779 8000 8008 8014 8028 8080:8082 8085 8088 8090 8118 8123 8180:8181 8222 8243 8280 8300 8500 8509 8800 8888 8899 9000 9060 9080 9090:9091 9111 9443 9999:10000 11371 12601 15489 29991 33300 34412 34443:34444 41080 44449 50000 50002 51423 53331 55252 55555 56712 ]<br>PortVar 'GTP_PORTS' defined :  [ 2123 2152 3386 ]<br>ERROR: snort.conf(540) Undefined variable name: RULE_PATH.<br>Fatal Error, Quitting..<br><br>When i add in # before the rule path in line 540 of the snort.conf then it does not throw up any error but it reads 0 rules when initializing as follows: <br><br>root@...11994...:/usr/src# snort -dev -l ./log -h 192.168.1.0/24 -c snort.conf<br>Running in IDS mode<br><br>        --== Initializing Snort ==--<br>Initializing Output Plugins!<br>Initializing Preprocessors!<br>Initializing Plug-ins!<br>Parsing Rules file "snort.conf"<br>PortVar 'HTTP_PORTS' defined :  [ 36 80:90 311 383 555 591 593 631 801 808 818 901 972 1158 1220 1414 1533 1741 1830 2231 2301 2381 2809 3029 3037 3057 3128 3443 3702 4000 4343 4848 5117 5250 6080 6173 6988 7000:7001 7071 7144:7145 7510 7770 7777 7779 8000 8008 8014 8028 8080:8082 8085 8088 8090 8118 8123 8180:8181 8222 8243 8280 8300 8500 8509 8800 8888 8899 9000 9060 9080 9090:9091 9111 9443 9999:10000 11371 12601 15489 29991 33300 34412 34443:34444 41080 44449 50000 50002 51423 53331 55252 55555 56712 ]<br>PortVar 'SHELLCODE_PORTS' defined :  [ 0:79 81:65535 ]<br>PortVar 'ORACLE_PORTS' defined :  [ 1024:65535 ]<br>PortVar 'SSH_PORTS' defined :  [ 22 ]<br>PortVar 'FTP_PORTS' defined :  [ 21 2100 3535 ]<br>PortVar 'SIP_PORTS' defined :  [ 5060:5061 5600 ]<br>PortVar 'FILE_DATA_PORTS' defined :  [ 36 80:90 110 143 311 383 555 591 593 631 801 808 818 901 972 1158 1220 1414 1533 1741 1830 2231 2301 2381 2809 3029 3037 3057 3128 3443 3702 4000 4343 4848 5117 5250 6080 6173 6988 7000:7001 7071 7144:7145 7510 7770 7777 7779 8000 8008 8014 8028 8080:8082 8085 8088 8090 8118 8123 8180:8181 8222 8243 8280 8300 8500 8509 8800 8888 8899 9000 9060 9080 9090:9091 9111 9443 9999:10000 11371 12601 15489 29991 33300 34412 34443:34444 41080 44449 50000 50002 51423 53331 55252 55555 56712 ]<br>PortVar 'GTP_PORTS' defined :  [ 2123 2152 3386 ]<br>Tagged Packet Limit: 256<br>Log directory = ./log<br><br>+++++++++++++++++++++++++++++++++++++++++++++++++++<br>Initializing rule chains...<br>0 Snort rules read<br>    0 detection rules<br>    0 decoder rules<br>    0 preprocessor rules<br>0 Option Chains linked into 0 Chain Headers<br>0 Dynamic rules<br>+++++++++++++++++++++++++++++++++++++++++++++++++++<br><br>+-------------------[Rule Port Counts]---------------------------------------<br>|             tcp     udp    icmp      ip<br>|     src       0       0       0       0<br>|     dst       0       0       0       0<br>|     any       0       0       0       0<br>|      nc       0       0       0       0<br>|     s+d       0       0       0       0<br>+----------------------------------------------------------------------------<br><br>+-----------------------[detection-filter-config]------------------------------<br>| memory-cap : 1048576 bytes<br>+-----------------------[detection-filter-rules]-------------------------------<br>| none<br>-------------------------------------------------------------------------------<br><br>+-----------------------[rate-filter-config]-----------------------------------<br>| memory-cap : 1048576 bytes<br>+-----------------------[rate-filter-rules]------------------------------------<br>| none<br>-------------------------------------------------------------------------------<br><br>+-----------------------[event-filter-config]----------------------------------<br>| memory-cap : 1048576 bytes<br>+-----------------------[event-filter-global]----------------------------------<br>+-----------------------[event-filter-local]-----------------------------------<br>| none<br>+-----------------------[suppression]------------------------------------------<br>| none<br>-------------------------------------------------------------------------------<br>Rule application order: activation->dynamic->pass->drop->sdrop->reject->alert->log<br>Verifying Preprocessor Configurations!<br>pcap DAQ configured to passive.<br>Acquiring network traffic from "eth0".<br>Reload thread starting...<br>Reload thread started, thread 0xb6cb8b70 (4388)<br>Decoding Ethernet<br><br>        --== Initialization Complete ==--<br><br>   ,,_     -*> Snort! <*-<br>  o"  )~   Version 2.9.6.0 GRE (Build 47) <br>   ''''    By Martin Roesch & The Snort Team: <a href="http://www.snort.org/snort/snort-team">http://www.snort.org/snort/snort-team</a><br>           Copyright (C) 2014 Cisco and/or its affiliates. All rights reserved.<br>           Copyright (C) 1998-2013 Sourcefire, Inc., et al.<br>           Using libpcap version 1.2.1<br>           Using PCRE version: 8.30 2012-02-04<br>           Using ZLIB version: 1.2.7<br><br>Commencing packet processing (pid=4383)<br><br><br>I have attached my snort.conf <br>Thanks<br>Rameez<br> <br><br><div>> Date: Wed, 9 Apr 2014 20:42:35 -0400<br>> From: <a href="mailto:wkitty42@...14940...">wkitty42@...14940...</a><br>> To: <a href="mailto:snort-users@lists.sourceforge.net">snort-users@lists.sourceforge.net</a><br>> Subject: Re: [Snort-users] FW: AW: Libovar Man info.<br>> <br>> On 4/9/2014 6:19 PM, Rameez Qureshi wrote:<br>> > for my snort.conf file when taking out the # out of the rule paths for rules and<br>> > for including individual rules it throws up and error and this led me to taking<br>> > out the # where snort seemed to fire correctly but did not load any rules<br>> <br>> what error???<br>> <br>> > So im still stuck on how to load rules without getting any errors<br>> > I have attached my snort.conf<br>> ><br>> > Thanks<br>> > Rameez<br>> ><br>> >  > Date: Wed, 9 Apr 2014 14:16:35 -0400<br>> >  > From: <a href="mailto:wkitty42@...14940...">wkitty42@...14940...</a><br>> >  > To: <a href="mailto:snort-users@lists.sourceforge.net">snort-users@lists.sourceforge.net</a><br>> >  > Subject: Re: [Snort-users] FW: AW: Libovar Man info.<br>> >  ><br>> >  > On 4/9/2014 1:35 PM, Rameez Qureshi wrote:<br>> >  > > Hello<br>> >  > ><br>> >  > > There is only one config file, am I correct in saying that the # comments<br>> > the files out and therefore i should take these out for part 7, 8 & 9<br>> >  ><br>> >  > YES! '#' are comment indicators... lines starting with them are commented out...<br>> >  ><br>> >  > i was wondering why you had so many lines starting with '#' characters... in<br>> >  > effect you barely have a working config with it in its current state...<br>> <br>> <br>> <br>> -- <br>> NOTE: No off-list assistance is given without prior approval.<br>>        Please keep mailing list traffic on the list unless<br>>        private contact is specifically requested and granted.<br>> <br>> ------------------------------------------------------------------------------<br>> Put Bad Developers to Shame<br>> Dominate Development with Jenkins Continuous Integration<br>> Continuously Automate Build, Test & Deployment <br>> Start a new project now. Try Jenkins in the cloud.<br>> <a href="http://p.sf.net/sfu/13600_Cloudbees">http://p.sf.net/sfu/13600_Cloudbees</a><br>> _______________________________________________<br>> Snort-users mailing list<br>> <a href="mailto:Snort-users@lists.sourceforge.net">Snort-users@lists.sourceforge.net</a><br>> Go to this URL to change user options or unsubscribe:<br>> <a href="https://lists.sourceforge.net/lists/listinfo/snort-users">https://lists.sourceforge.net/lists/listinfo/snort-users</a><br>> Snort-users list archive:<br>> <a href="http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users">http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users</a><br>> <br>> Please visit <a href="http://blog.snort.org">http://blog.snort.org</a> to stay current on all the latest Snort news!<br><br><br></div>                                      </div>
<br>------------------------------------------------------------------------------
Put Bad Developers to Shame
Dominate Development with Jenkins Continuous Integration
Continuously Automate Build, Test & Deployment 
Start a new project now. Try Jenkins in the cloud.
<a href="http://p.sf.net/sfu/13600_Cloudbees">http://p.sf.net/sfu/13600_Cloudbees</a><br>_______________________________________________
Snort-users mailing list
<a href="mailto:Snort-users@lists.sourceforge.net">Snort-users@lists.sourceforge.net</a>
Go to this URL to change user options or unsubscribe:
<a href="https://lists.sourceforge.net/lists/listinfo/snort-users">https://lists.sourceforge.net/lists/listinfo/snort-users</a>
Snort-users list archive:
<a href="http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users">http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users</a>

Please visit <a href="http://blog.snort.org">http://blog.snort.org</a> to stay current on all the latest Snort news!</div>                                    </div>
</div></blockquote></body></html>