<div dir="ltr">Hello Richard,<div><br></div><div>If possible, add another interface to your sensor for management and remove the IP addresses from the interfaces used for inline operation. I have had many problems before when doing testing and using only two interfaces.</div>
<div><br></div><div>The thing that stands out is that you are trying to communicate between two different networks. Are you also routing/nat on that snort sensor?</div></div><div class="gmail_extra"><br><br><div class="gmail_quote">
On Wed, Aug 27, 2014 at 9:52 AM, Richard Smollett <span dir="ltr"><<a href="mailto:yawningdogge@...11827..." target="_blank">yawningdogge@...979...11827...</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<div dir="ltr">IP setup looks like this.<div><br></div><div><div>root@...979...2306...:~# ifconfig</div><div>eth0      Link encap:Ethernet  HWaddr 08:00:27:fd:b5:c4</div><div>          inet addr:<b>172.28.61.104</b>  Bcast:172.28.61.127  Mask:<b>255.255.255.128</b></div>

<div>          inet6 addr: fe80::a00:27ff:fefd:b5c4/64 Scope:Link</div><div>          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1</div><div>          RX packets:472894 errors:5 dropped:15 overruns:0 frame:0</div><div>

          TX packets:15266 errors:0 dropped:0 overruns:0 carrier:0</div><div>          collisions:0 txqueuelen:1000</div><div>          RX bytes:129789824 (123.7 MiB)  TX bytes:2332609 (2.2 MiB)</div><div>          Interrupt:10 Base address:0xd020</div>

<div><br></div><div>eth1      Link encap:Ethernet  HWaddr 08:00:27:97:66:ff</div><div>          inet addr:<b>192.168.123.1</b>  Bcast:192.168.123.255  Mask:<b>255.255.255.0</b></div><div>          inet6 addr: fe80::a00:27ff:fe97:66ff/64 Scope:Link</div>

<div>          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1</div><div>          RX packets:14 errors:0 dropped:0 overruns:0 frame:0</div><div>          TX packets:438796 errors:0 dropped:0 overruns:0 carrier:0</div>

<div>          collisions:0 txqueuelen:1000</div><div>          RX bytes:962 (962.0 B)  TX bytes:123829936 (118.0 MiB)</div><div>          Interrupt:9 Base address:0xd240</div></div><div><br></div><div>The eth0 interface is the outside and eth1 is inside. I'm starting snort with this command.</div>

<div><br></div><div>snort --daq afpacket -i eth0:eth1 --daq-mode inline -c /etc/snort/snort.conf<br></div><div><br></div><div>But I still cannot ping an inside host from the outside. I can ping between the snort device and inside/ouside hosts. If I ping an inside host from the outside, tcpdump shows the icmp echo request arriving but no reply. Inside host ip is 192.168.123.2.</div>

<div><br></div><div>Can anyone recommend some other troubleshooting steps or suggest where I may have left anything out of the setup?</div></div>
<br>------------------------------------------------------------------------------<br>
Slashdot TV.<br>
Video for Nerds.  Stuff that matters.<br>
<a href="http://tv.slashdot.org/" target="_blank">http://tv.slashdot.org/</a><br>_______________________________________________<br>
Snort-users mailing list<br>
<a href="mailto:Snort-users@lists.sourceforge.net">Snort-users@...4626...ceforge.net</a><br>
Go to this URL to change user options or unsubscribe:<br>
<a href="https://lists.sourceforge.net/lists/listinfo/snort-users" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-users</a><br>
Snort-users list archive:<br>
<a href="http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users" target="_blank">http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users</a><br>
<br>
Please visit <a href="http://blog.snort.org" target="_blank">http://blog.snort.org</a> to stay current on all the latest Snort news!<br></blockquote></div><br></div>