<div dir="ltr"><div>also if i add a subinterface andin /etc/sysconfig/snort  i amend the INTERFACE directive : <br></div><div>INTERFACE="eth0:eth0:1" <br><br></div><div>and start snort will through an error : <br><br></div><div>FATAL ERROR: Can't initialize DAQ afpacket (-1) - afpacket_daq_initialize: Couldn't create the bridge between eth0 and eth0! <br><br></div><div>it seems that snort does not parse the subinterface in the INTERFACES directive <br></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Fri, May 8, 2015 at 8:01 PM, Abdallah Jabbour <span dir="ltr"><<a href="mailto:abdjbr@...11827..." target="_blank">abdjbr@...11827...</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div>there is no subinterface , all interfaces are main two with IP { eth0 ( internal interface ) eth1 ( external interface ) } and the others without IP ( eth0.1 and eth1.1 ) ,  i just manipulated the names of the interface (instead of eth3 and eth4 i used eth0.1 and eth1.1 ) the subinterface would be named : eth0:1 <br><br></div>i tried to use eth0:eth1 ( internal:external ) but this will cause to drop connection with the internet . and if i  used this i also would get only traffic destined to the internet <br></div><div class="HOEnZb"><div class="h5"><div class="gmail_extra"><br><div class="gmail_quote">On Fri, May 8, 2015 at 7:07 PM, Al Lewis (allewi) <span dir="ltr"><<a href="mailto:allewi@...589..." target="_blank">allewi@...589...</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">





<div link="blue" vlink="purple" lang="EN-US">
<div>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">I think your issue is caused by attempting to use the main interfaces to talk through the subinterfaces.<u></u><u></u></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"><u></u> <u></u></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">Are you able pass traffic with just “eth0:eth1”?<u></u><u></u></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"><u></u> <u></u></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">Have you tried not using the main interfaces and creating two subinterfaces on each side?<u></u><u></u></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"><u></u> <u></u></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"><u></u> <u></u></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"><u></u> <u></u></span></p>
<p class="MsoNormal"><span style="font-family:"Candara","sans-serif";color:#1f497d">Albert Lewis<u></u><u></u></span></p>
<p class="MsoNormal"><span style="font-family:"Candara","sans-serif";color:#888888">QA Software Engineer<u></u><u></u></span></p>
<p class="MsoNormal"><span style="font-family:"Georgia","serif";color:#999999">SOURCE</span><b><span style="font-family:"Georgia","serif";color:red">fire</span></b><span style="font-family:"Georgia","serif";color:#999999">, Inc.
</span><span style="font-family:"Georgia","serif";color:#888888">now part of </span>
<b><span style="font-family:"Georgia","serif";color:#31849b">Cisco</span></b><span style="font-family:"Georgia","serif";color:#888888"><u></u><u></u></span></p>
<p class="MsoNormal"><span style="font-family:"Candara","sans-serif";color:#999999">9780 Patuxent Woods Drive<br>
Columbia, MD 21046 </span><span style="font-family:"Candara","sans-serif";color:#888888"><u></u><u></u></span></p>
<p class="MsoNormal"><span style="font-family:"Candara","sans-serif";color:#999999">Phone: (office) </span><span style="font-family:"Candara","sans-serif";color:#1f497d"><a href="tel:443.430.7112" value="+14434307112" target="_blank">443.430.7112</a><u></u><u></u></span></p>
<p class="MsoNormal"><span style="font-family:"Candara","sans-serif";color:#999999">Email:
</span><span style="font-family:"Candara","sans-serif";color:#1f497d"><a href="mailto:allewi@...589..." target="_blank">allewi@...589...</a></span><span style="font-family:"Candara","sans-serif";color:#4f81bd"> </span><span style="font-family:"Candara","sans-serif";color:#1f497d"><u></u><u></u></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"><u></u> <u></u></span></p>
<p class="MsoNormal"><b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif"">From:</span></b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif""> Abdallah Jabbour [mailto:<a href="mailto:abdjbr@...11827..." target="_blank">abdjbr@...11827...</a>]
<br>
<b>Sent:</b> Friday, May 08, 2015 12:16 PM<br>
<b>To:</b> <a href="mailto:snort-users@lists.sourceforge.net" target="_blank">snort-users@lists.sourceforge.net</a><br>
<b>Subject:</b> [Snort-users] snort inline mode does not capture traffic destined to other machine on the internal network<u></u><u></u></span></p><div><div>
<p class="MsoNormal"><u></u> <u></u></p>
<div>
<div>
<div>
<p class="MsoNormal" style="margin-bottom:12.0pt">Hello , <u></u><u></u></p>
</div>
<p class="MsoNormal" style="margin-bottom:12.0pt">i have setup snort in inline mode and tested it by adding  a rule in /etc/snort/rules/local.rules :
<br>
alert icmp any any -> any any (msg:"Ping Testing"; sid:1000003;rev:1;) <br>
<br>
<u></u><u></u></p>
</div>
<div>
<p class="MsoNormal">i am running snort as a service and i added two pairs of network interfaces to to /etc/sysconfig/snort
<br>
INTERFACE="eth0:eth0.1::eth1:eth1.1" <u></u><u></u></p>
</div>
<div>
<p class="MsoNormal" style="margin-bottom:12.0pt">where eth0.1 and eth1.1 does not have IP address and have enabled promiscuous mode for all network interfaces
<u></u><u></u></p>
</div>
<div>
<p class="MsoNormal" style="margin-bottom:12.0pt">but in /var/log/snort/alert i  get alert from previously defined rule only when i ping an external host or when i ping one of the interfaces of the snort machine
<u></u><u></u></p>
</div>
<div>
<p class="MsoNormal" style="margin-bottom:12.0pt">i can confirm than snort is running in inline mode and acquiring network traffic from all network interfaces from /var/log/messages
<br>
<br>
 afpacket DAQ configured to inline.<br>
 Acquiring network traffic from "eth0:eth0.1::eth1:eth1.1".<br>
 Initializing daemon mode<br>
 Daemon initialized, signaled parent pid: 1726<br>
 Reload thread starting...<br>
 Reload thread started, thread 0x7f2f0055c700 (1746)<br>
 Checking PID path...<br>
PID path stat checked out ok, PID path set to /var/run/<br>
 Writing PID "1745" to file "/var/run//snort_eth0:eth0.1::eth1:eth1.1.pid"<br>
<br>
        --== Initialization Complete ==--<br>
 Commencing packet processing (pid=1745)<br>
 Decoding Ethernet<br>
 device eth1.1 entered promiscuous mode<br>
 device eth1 entered promiscuous mode<br>
 device eth0.1 entered promiscuous mode<br>
 device eth0 entered promiscuous mode<u></u><u></u></p>
</div>
<div>
<p class="MsoNormal" style="margin-bottom:12.0pt">i cannot get any traffic local hosts pinging each other ( on the internal network ) .
<u></u><u></u></p>
</div>
<div>
<p class="MsoNormal">please assist <u></u><u></u></p>
</div>
</div>
</div></div></div>
</div>

</blockquote></div><br></div>
</div></div></blockquote></div><br></div>