<html><head><meta http-equiv="content-type" content="text/html; charset=utf-8"></head><body dir="auto"><div>It looks like snort as IPS is not going to work well with my setup. Not without major reworking of stuff that is stable and has been working for years.</div><div><br></div><div>The entire exercise, though, was a good learning experience for me. I understand better snort's architecture and how the different pieces fit together.</div><div><br></div><div><span style="background-color: rgba(255, 255, 255, 0);">Thank you both gents for your help!</span></div><div><br>On Nov 4, 2014, at 7:28 AM, James Lay <<a href="mailto:jlay@...13475...">jlay@...13810...5...</a>> wrote:<br><br></div><blockquote type="cite"><div>


  <meta http-equiv="Content-Type" content="text/html; CHARSET=UTF-8">
  <meta name="GENERATOR" content="GtkHTML/4.6.6">


On Mon, 2014-11-03 at 21:26 -0500, waldo kitty wrote:
<blockquote type="CITE">
<pre>On 11/3/2014 8:56 PM, James Lay wrote:
<font color="#737373">> On Mon, 2014-11-03 at 20:44 -0500, Sec Aficionado wrote:</font>
<font color="#737373">>> Great, thank you for the explanation. NFQ was indeed my next step</font>
<font color="#737373">>> after trying AFPacket. AFPacket was easier to build, but I did not</font>
<font color="#737373">>> realize it might have serious side effects.</font>
<font color="#737373">>></font>
<font color="#737373">>></font>
<font color="#737373">>>  From the high level description of NFQ, it still works with iptables,</font>
<font color="#737373">>> but in a more efficient manner?</font>
<font color="#737373">>></font>
<font color="#737373">></font>
<font color="#737373">> It's.....interesting.  You have to be careful with where you place your</font>
<font color="#737373">> iptables QUEUE rule for Snort to use.  Because any rules placed AFTER</font>
<font color="#737373">> the QUEUE rule are not looked at....as soon as the packet hits the QUEUE</font>
<font color="#737373">> rule snort will either drop it as an IPS hit, or will pass it up the</font>
<font color="#737373">> stack.  So make sure you nmap the box once you put it in place...don't</font>
<font color="#737373">> want any open surprises ;)</font>

that's going to be fun to do... i'm extremely familiar with the setup that the 
OP is working with... the entire configuration is built by iptables and getting 
the queues in place is going to be early in the process /IF/ i'm looking at 
things properly... that also puts snort towards the end of all the flow instead 
of at the head of it unless i'm missing what you mean by "pass [the packet] up 
the stack"...

</pre>
</blockquote>
<br>
Yep..it's a hoot <face-wink.png>  And good call on the multiple NIC's waldo.<br>
<br>
James


</div></blockquote><blockquote type="cite"><div><span>------------------------------------------------------------------------------</span><br></div></blockquote><blockquote type="cite"><div><span>_______________________________________________</span><br><span>Snort-users mailing list</span><br><span><a href="mailto:Snort-users@lists.sourceforge.net">Snort-users@...1753...s.sourceforge.net</a></span><br><span>Go to this URL to change user options or unsubscribe:</span><br><span><a href="https://lists.sourceforge.net/lists/listinfo/snort-users">https://lists.sourceforge.net/lists/listinfo/snort-users</a></span><br><span>Snort-users list archive:</span><br><span><a href="http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users">http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users</a></span><br><span></span><br><span>Please visit <a href="http://blog.snort.org">http://blog.snort.org</a> to stay current on all the latest Snort news!</span></div></blockquote></body></html>