<html>
  <head>
    <meta content="text/html; charset=windows-1252"
      http-equiv="Content-Type">
  </head>
  <body bgcolor="#FFFFFF" text="#000000">
    <div class="moz-cite-prefix">For the record, the RPM shouldn't touch
      anything in /usr/local - anything there would probably be
      artifacts from a previous personal build that was installed
      (/usr/local being the default prefix if you just run ./configure,
      but distro RPMs change the prefix to /usr).† For example, here are
      the header contents of daq-2.0.4.centos7.x86_64.rpm from the
      snort.org website:<br>
      <br>
      $ rpm -qpl daq-2.0.4.centos7.x86_64.rpm | grep include<br>
      /usr/include/daq.h<br>
      /usr/include/daq_api.h<br>
      /usr/include/daq_common.h<br>
      /usr/include/sfbpf.h<br>
      /usr/include/sfbpf_dlt.h<br>
      <br>
      On 11/21/2014 12:51 PM, Terry John wrote:<br>
    </div>
    <blockquote
cite="mid:178894e8334f473a9e000ac4959d0ce1@...16851..."
      type="cite">
      <meta http-equiv="Content-Type" content="text/html;
        charset=windows-1252">
      <meta name="Generator" content="Microsoft Word 14 (filtered
        medium)">
      <style><!--
/* Font Definitions */
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
@font-face
        {font-family:Tahoma;
        panose-1:2 11 6 4 3 5 4 4 2 4;}
@font-face
        {font-family:Consolas;
        panose-1:2 11 6 9 2 2 4 3 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0cm;
        margin-bottom:.0001pt;
        font-size:11.0pt;
        font-family:"Calibri","sans-serif";
        color:black;
        mso-fareast-language:EN-US;}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:blue;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {mso-style-priority:99;
        color:purple;
        text-decoration:underline;}
p
        {mso-style-priority:99;
        mso-margin-top-alt:auto;
        margin-right:0cm;
        mso-margin-bottom-alt:auto;
        margin-left:0cm;
        font-size:12.0pt;
        font-family:"Times New Roman","serif";
        color:black;}
pre
        {mso-style-priority:99;
        mso-style-link:"HTML Preformatted Char";
        margin:0cm;
        margin-bottom:.0001pt;
        font-size:10.0pt;
        font-family:"Courier New";
        color:black;}
span.EmailStyle17
        {mso-style-type:personal;
        font-family:"Calibri","sans-serif";
        color:windowtext;}
span.HTMLPreformattedChar
        {mso-style-name:"HTML Preformatted Char";
        mso-style-priority:99;
        mso-style-link:"HTML Preformatted";
        font-family:"Consolas","serif";
        color:black;
        mso-fareast-language:EN-US;}
span.EmailStyle21
        {mso-style-type:personal-reply;
        font-family:"Calibri","sans-serif";
        color:#1F497D;}
.MsoChpDefault
        {mso-style-type:export-only;
        font-size:10.0pt;}
@page WordSection1
        {size:612.0pt 792.0pt;
        margin:72.0pt 72.0pt 72.0pt 72.0pt;}
div.WordSection1
        {page:WordSection1;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]-->
      <div class="WordSection1">
        <p class="MsoNormal"><span style="color:#1F497D">Thanks for
            that. I had already updated the daq. Sorry I omitted to say
            that in my original post.<o:p></o:p></span></p>
        <p class="MsoNormal"><span style="color:#1F497D"><o:p>†</o:p></span></p>
        <p class="MsoNormal"><span style="color:#1F497D">I think I have
            found a workaround now. I posted it a couple of minutes ago.<o:p></o:p></span></p>
        <p class="MsoNormal"><span style="color:#1F497D"><o:p>†</o:p></span></p>
        <p class="MsoNormal"><span style="color:#1F497D">cd
            †/usr/local/include/<o:p></o:p></span></p>
        <p class="MsoNormal"><span style="color:#1F497D">rm daq.h†
            daq_api.h† daq_common.h† sfbpf.h† sfbpf_dlt.h</span><span
            style="color:#1F497D"><o:p></o:p></span></p>
        <p class="MsoNormal"><span style="color:#1F497D"><o:p>†</o:p></span></p>
        <p class="MsoNormal"><span style="color:#1F497D">I think the rpm
            build should be able to remove previous rpm build files if
            they are no longer needed. Perhaps this hasnít been
            considered yet.<o:p></o:p></span></p>
        <p class="MsoNormal"><span style="color:#1F497D"><o:p>†</o:p></span></p>
        <p class="MsoNormal"><span style="color:#1F497D">Terry<o:p></o:p></span></p>
        <p class="MsoNormal"><span style="color:#1F497D"><o:p>†</o:p></span></p>
        <div>
          <div style="border:none;border-top:solid #B5C4DF
            1.0pt;padding:3.0pt 0cm 0cm 0cm">
            <p class="MsoNormal"><b><span
style="font-size:10.0pt;font-family:"Tahoma","sans-serif";color:windowtext;mso-fareast-language:EN-GB"
                  lang="EN-US">From:</span></b><span
style="font-size:10.0pt;font-family:"Tahoma","sans-serif";color:windowtext;mso-fareast-language:EN-GB"
                lang="EN-US"> Michael Altizer
                [<a class="moz-txt-link-freetext" href="mailto:mialtize@...589...">mailto:mialtize@...589...</a>] <br>
                <b>Sent:</b> 21 November 2014 17:27<br>
                <b>To:</b> <a class="moz-txt-link-abbreviated" href="mailto:snort-users@lists.sourceforge.net">snort-users@lists.sourceforge.net</a><br>
                <b>Subject:</b> Re: [Snort-users] Snort missing C99
                patch<o:p></o:p></span></p>
          </div>
        </div>
        <p class="MsoNormal"><o:p>†</o:p></p>
        <div>
          <p class="MsoNormal">Sounds like the DAQ library you have is
            an alpha/beta version, which is what that check was put in
            to detect (it has the new function, but an old version of
            the struct definition).† If you look at daq_common.h, you
            should see that the DAQ_DP_key_t structure looks like this:<br>
            <br>
            typedef struct _DAQ_DP_key_t {<br>
            ††† uint32_t af;††††††††††††††† /* AF_INET or AF_INET6 */<br>
            ††† union {<br>
            ††††††† struct in_addr src_ip4;<br>
            ††††††† struct in6_addr src_ip6;<br>
            ††† } sa;<br>
            ††† union {<br>
            ††††††† struct in_addr dst_ip4;<br>
            ††††††† struct in6_addr dst_ip6;<br>
            ††† } da;<br>
            ††† uint8_t protocol;†††††††††† /* TCP or UDP (IPPROTO_TCP
            or IPPROTO_UDP )*/<br>
            ††† uint16_t src_port;††††††††† /* TCP/UDP source port */<br>
            ††† uint16_t dst_port;††††††††† /* TCP/UDP destination port
            */<br>
            ††† uint16_t address_space_id;† /* Address Space ID */<br>
            ††† uint16_t tunnel_type;†††††† /* Tunnel type */<br>
            ††† uint16_t vlan_id;†††††††††† /* VLAN ID */<br>
            ††† uint16_t vlan_cnots;<br>
            } DAQ_DP_key_t;<br>
            <br>
            Note the named 'sa' and 'da' unions.† If it doesn't look
            like that, you need to update with the final version of
            libdaq 2.0.4, which is available on the snort.org website.†
            I just verified that the src.rpm there has the right version
            of the headers.<br>
            <br>
            On 11/21/2014 11:16 AM, Terry John wrote:<o:p></o:p></p>
        </div>
        <blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">
          <p class="MsoNormal">Iím trying to update an existing 2.9.6.0
            version of snort on Centos 6.5. I was disappointed to see
            that Snort no longer provides RPMís for Centos 6 so I
            rpmbuilt my own from the src.rpm files.<o:p></o:p></p>
          <p class="MsoNormal">†<o:p></o:p></p>
          <p class="MsoNormal">That daq built ok but the snort still
            insisted on looking for the old libdnet v 1.11 so I decided
            to compile from source using snort-2.9.7.0.tar.gz .<o:p></o:p></p>
          <p class="MsoNormal">†<o:p></o:p></p>
          <p class="MsoNormal">I did a yum update on the daq and that
            seems ok. But when I did a ./configure Ėenable-sourcefire as
            suggested in the setup guide (<a moz-do-not-send="true"
              href="https://www.snort.org/documents/4">https://www.snort.org/documents/4</a>)
            I got the error:<o:p></o:p></p>
          <p class="MsoNormal">†<o:p></o:p></p>
          <p class="MsoNormal">checking for daq_dp_add_dc... yes<o:p></o:p></p>
          <p class="MsoNormal">checking for struct
            _DAQ_DP_key_t.sa.src_ip4... no<o:p></o:p></p>
          <p class="MsoNormal">†<o:p></o:p></p>
          <p class="MsoNormal">†† ERROR!† daq library missing C99 patch,
            upgrade to >=2.0.4, go get it from<o:p></o:p></p>
          <p class="MsoNormal">†† <a moz-do-not-send="true"
              href="http://www.snort.org/">http://www.snort.org/</a>.<o:p></o:p></p>
          <p class="MsoNormal">†<o:p></o:p></p>
          <p class="MsoNormal">From a clean install on a virtualbox
            using the same daq rpm snort compiles fine. Could t be a
            problem that the daq RPM canít do a clean update on an
            existing system?<o:p></o:p></p>
          <p class="MsoNormal">†<o:p></o:p></p>
          <p class="MsoNormal">Thanks<o:p></o:p></p>
          <p class="MsoNormal">†<o:p></o:p></p>
          <p class="MsoNormal">Terry<o:p></o:p></p>
          <p>†<o:p></o:p></p>
          <p><span
style="font-size:10.0pt;font-family:"Calibri","sans-serif"">The
              Manheim group of companies within the UK comprises:
              Manheim Europe Limited (registered number: 03183918),
              Manheim Auctions Limited (registered number: 00448761),
              Manheim Retail Services Limited (registered number:
              02838588), Motors.co.uk Limited (registered number:
              05975777), Real Time Communications Limited (registered
              number: 04277845) and Complete Automotive Solutions
              Limited (registered number: 05302535). Each of these
              companies is registered in England and Wales with the
              registered office address of Central House, Leeds Road,
              Rothwell, Leeds LS26 0JE. The Manheim group of companies
              operates under various brand/trading names including
              Manheim Inspection Services, Manheim Auctions, Manheim
              Direct, Manheim De-fleet and Manheim Aftersales Solutions.</span>
            <o:p></o:p></p>
          <p><span
style="font-size:6.0pt;font-family:"Calibri","sans-serif"">V:0CF72C13B2AC<o:p></o:p></span></p>
          <p>†<o:p></o:p></p>
          <p class="MsoNormal"><span
              style="font-size:12.0pt;font-family:"Times New
              Roman","serif";mso-fareast-language:EN-GB"><br>
              <br>
              <br>
              <o:p></o:p></span></p>
          <pre>------------------------------------------------------------------------------<o:p></o:p></pre>
          <pre>Download BIRT iHub F-Type - The Free Enterprise-Grade BIRT Server<o:p></o:p></pre>
          <pre>from Actuate! Instantly Supercharge Your Business Reports and Dashboards<o:p></o:p></pre>
          <pre>with Interactivity, Sharing, Native Excel Exports, App Integration & more<o:p></o:p></pre>
          <pre>Get technology previously reserved for billion-dollar corporations, FREE<o:p></o:p></pre>
          <pre><a moz-do-not-send="true" href="http://pubads.g.doubleclick.net/gampad/clk?id=157005751&iu=/4140/ostg.clktrk">http://pubads.g.doubleclick.net/gampad/clk?id=157005751&iu=/4140/ostg.clktrk</a><o:p></o:p></pre>
          <p class="MsoNormal"><span
              style="font-size:12.0pt;font-family:"Times New
              Roman","serif";mso-fareast-language:EN-GB"><br>
              <br>
              <br>
              <o:p></o:p></span></p>
          <pre>_______________________________________________<o:p></o:p></pre>
          <pre>Snort-users mailing list<o:p></o:p></pre>
          <pre><a moz-do-not-send="true" href="mailto:Snort-users@lists.sourceforge.net">Snort-users@lists.sourceforge.net</a><o:p></o:p></pre>
          <pre>Go to this URL to change user options or unsubscribe:<o:p></o:p></pre>
          <pre><a moz-do-not-send="true" href="https://lists.sourceforge.net/lists/listinfo/snort-users">https://lists.sourceforge.net/lists/listinfo/snort-users</a><o:p></o:p></pre>
          <pre>Snort-users list archive:<o:p></o:p></pre>
          <pre><a moz-do-not-send="true" href="http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users">http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users</a><o:p></o:p></pre>
          <pre><o:p>†</o:p></pre>
          <pre>Please visit <a moz-do-not-send="true" href="http://blog.snort.org">http://blog.snort.org</a> to stay current on all the latest Snort news!<o:p></o:p></pre>
        </blockquote>
        <p class="MsoNormal"><span
            style="font-size:12.0pt;font-family:"Times New
            Roman","serif";mso-fareast-language:EN-GB"><o:p>†</o:p></span></p>
      </div>
    </blockquote>
    <br>
  </body>
</html>