<html>
  <head>
    <meta content="text/html; charset=UTF-8" http-equiv="Content-Type">
  </head>
  <body bgcolor="#FFFFFF" text="#000000">
    On 5/22/2014 6:54 AM, James Lay wrote:<br>
    <blockquote cite="mid:1400756063.2656.6.camel@...16724..." type="cite">
      <meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
      <meta name="GENERATOR" content="GtkHTML/4.6.6">
      On Thu, 2014-05-22 at 01:30 -0400, Dave Corsello wrote:<br>
      <blockquote type="CITE"> On 5/21/2014 10:00 PM, James Lay wrote:<br>
        <blockquote type="CITE"> On Wed, 2014-05-21 at 12:50 -0400, Dave
          Corsello wrote:
          <blockquote type="CITE">
            <pre>On 5/21/2014 12:09 PM, James Lay wrote:
<font color="#737373">> Dave,</font>
<font color="#737373">></font>
<font color="#737373">> Can you provide the output of:</font>
<font color="#737373">></font>
<font color="#737373">> sudo iptables -nvL</font>
<font color="#737373">></font>
<font color="#737373">> Thanks.</font>
<font color="#737373">></font>
<font color="#737373">> James</font>

Chain INPUT (policy ACCEPT 4803 packets, 530K bytes)
  pkts bytes target     prot opt in     out     source destination

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
  pkts bytes target     prot opt in     out     source destination
2514K 1935M NFQUEUE    all  --  *      *       0.0.0.0/0 
0.0.0.0/0           NFQUEUE num 1

Chain OUTPUT (policy ACCEPT 527 packets, 109K bytes)
  pkts bytes target     prot opt in     out     source destination


</pre>
          </blockquote>
          <br>
          Ok...just sending this to you.  How are you trying to get the
          reputation stuff to drop?  As it sits right now, with my
          tests, I'm in the same boat as you...using either the forward
          chain or forward mangle chain I see the same thing....says
          blocked, but I still see the packets go through.  Here's a
          rule I've tested:<br>
          <br>
          drop tcp any any -> any $HTTP_PORTS (msg:"WEB-SERVER
          Wpad.dat request"; flow:to_server,established;
          content:"wpad.dat"; nocase; http_uri; metadata:policy
          security-ips drop, service http;
          classtype:web-application-attack; sid:10000055; rev:1;)<br>
          <br>
          I'm sending a screenshot that should pretty much show
          everything...is this what you're seeing?<br>
          <br>
          James <br>
        </blockquote>
        <br>
        Here's my reputation-related configuration:<br>
        <br>
        #############################<br>
        snort.conf<br>
        #############################<br>
        <br>
        # Reputation preprocessor. For more information see
        README.reputation<br>
        preprocessor reputation: \<br>
           memcap 500, \<br>
           priority blacklist, \<br>
           white unblack, \<br>
           nested_ip inner, \<br>
           whitelist $WHITE_LIST_PATH/default.whitelist, \<br>
           blacklist $BLACK_LIST_PATH/default.blacklist, \<br>
           blacklist $BLACK_LIST_PATH/custom.blacklist<br>
        <br>
        #############################<br>
        snort.rules<br>
        #############################<br>
        <br>
        # -- Begin GID:136 Based Rules -- #<br>
        <br>
        drop ( msg: "REPUTATION_EVENT_BLACKLIST"; sid: 1; gid: 136; rev:
        1; metadata: rule-type preproc ; classtype:bad-unknown; )<br>
        alert ( msg: "REPUTATION_EVENT_WHITELIST"; sid: 2; gid: 136;
        rev: 1; metadata: rule-type preproc ; classtype:bad-unknown; )<br>
        <br>
        (Well, that's how the reputation-related rules in snort.rules
        look now, after I discovered that I had neglected to add "136:1"
        to my pulledpork dropsid.conf.  That rule was set to alert, not
        drop, and this was my problem.)<br>
        <br>
        Before I applied the above fix, I was seeing a successful
        handshake, with SYN, SYN ACK and ACK packets being exchanged
        between client and server, and multiple failed retries of the
        HTTP GET from the client to the server.  Apparently, strange
        things happen when the reputation preprocessor is enabled, but
        the drop rule is not.<br>
        <br>
        What we had in common was multiple retries.  But now I'm
        fixed--the SYN packet from client to reputation-blocked server
        is being dropped as expected with no traffic coming back the
        other way.<br>
        <br>
        The command line in your document on snort.org differs from
        what's in your screenshot.  In the document, you didn't use
        "--daq-mode inline" or "-k none".  I don't think you need the
        daq-mode inline.  I wonder if that's messing things up.  I don't
        know what -k none does.  The command line in your document is
        what I'm using, and it works for me.<br>
      </blockquote>
      <br>
      Ok good deal then <img
        src="cid:part1.01020105.08000507@...15598..." alt=":)"
        align="middle" border="0">  The daq-mode line and -Q really do
      the same thing.  As for -k none, that's set to ignore checksums. 
      Thanks Dave.<br>
      <br>
      James
    </blockquote>
    <br>
    Thanks for checking into this with me, James.<br>
    <br>
  </body>
</html>