<div dir="ltr">Hello Gregory ,<div><br></div><div><br></div><div style>yes the subinterface should be defined with period , but as i mentioned when doing : INTEFACE="eth0:eth0:1" snort tries to bridge eth0 with eth0 and does not recognize ":"  and give an error : </div><div style><br></div><div style><span style="color:rgb(80,0,80);font-size:13px">FATAL ERROR: Can't initialize DAQ afpacket (-1) - afpacket_daq_initialize:</span><br style="color:rgb(80,0,80);font-size:13px"><span style="color:rgb(80,0,80);font-size:13px"> Couldn't create the bridge between eth0 and eth0!</span><br></div><div style><font color="#000000">so i used main interface instead of subinterface . </font></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Sat, May 9, 2015 at 6:30 PM, Gregory W. MacPherson <span dir="ltr"><<a href="mailto:greg@...15873..." target="_blank">greg@...15873...</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Aren't subinterfaces supposed to be defined with a period (.) rather<br>
than with a colon (:)?<br>
<span class=""><br>
On or about 2015.05.08 20:27:32 +0200, Abdallah Jabbour (<a href="mailto:abdjbr@...11827...">abdjbr@...11827...</a>) said:<br>
<br>
> also if i add a subinterface andin /etc/sysconfig/snort  i amend the<br>
> INTERFACE directive :<br>
> INTERFACE="eth0:eth0:1"<br>
><br>
> and start snort will through an error :<br>
><br>
> FATAL ERROR: Can't initialize DAQ afpacket (-1) - afpacket_daq_initialize:<br>
> Couldn't create the bridge between eth0 and eth0!<br>
><br>
> it seems that snort does not parse the subinterface in the INTERFACES<br>
> directive<br>
><br>
> On Fri, May 8, 2015 at 8:01 PM, Abdallah Jabbour <<a href="mailto:abdjbr@...11827...">abdjbr@...11827...</a>> wrote:<br>
><br>
> > there is no subinterface , all interfaces are main two with IP { eth0 (<br>
> > internal interface ) eth1 ( external interface ) } and the others without<br>
> > IP ( eth0.1 and eth1.1 ) ,  i just manipulated the names of the interface<br>
> > (instead of eth3 and eth4 i used eth0.1 and eth1.1 ) the subinterface would<br>
> > be named : eth0:1<br>
> ><br>
> > i tried to use eth0:eth1 ( internal:external ) but this will cause to drop<br>
> > connection with the internet . and if i  used this i also would get only<br>
> > traffic destined to the internet<br>
> ><br>
> > On Fri, May 8, 2015 at 7:07 PM, Al Lewis (allewi) <<a href="mailto:allewi@...589...">allewi@...589...</a>><br>
> > wrote:<br>
> ><br>
> >>  I think your issue is caused by attempting to use the main interfaces<br>
> >> to talk through the subinterfaces.<br>
> >><br>
> >><br>
> >><br>
</span>> >> Are you able pass traffic with just ???eth0:eth1????<br>
<span class="">> >><br>
> >><br>
> >><br>
> >> Have you tried not using the main interfaces and creating two<br>
> >> subinterfaces on each side?<br>
> >><br>
> >><br>
> >><br>
> >><br>
> >><br>
> >><br>
> >><br>
> >> Albert Lewis<br>
> >><br>
> >> QA Software Engineer<br>
> >><br>
</span>> >> SOURCE*fire*, Inc. now part of *Cisco*<br>
<span class="">> >><br>
> >> 9780 Patuxent Woods Drive<br>
> >> Columbia, MD 21046<br>
> >><br>
> >> Phone: (office) 443.430.7112<br>
> >><br>
> >> Email: <a href="mailto:allewi@...589...">allewi@...589...</a><br>
> >><br>
> >><br>
> >><br>
</span>> >> *From:* Abdallah Jabbour [mailto:<a href="mailto:abdjbr@...11827...">abdjbr@...11827...</a>]<br>
> >> *Sent:* Friday, May 08, 2015 12:16 PM<br>
> >> *To:* <a href="mailto:snort-users@lists.sourceforge.net">snort-users@lists.sourceforge.net</a><br>
> >> *Subject:* [Snort-users] snort inline mode does not capture traffic<br>
<div><div class="h5">> >> destined to other machine on the internal network<br>
> >><br>
> >><br>
> >><br>
> >> Hello ,<br>
> >><br>
> >> i have setup snort in inline mode and tested it by adding  a rule in<br>
> >> /etc/snort/rules/local.rules :<br>
> >> alert icmp any any -> any any (msg:"Ping Testing"; sid:1000003;rev:1;)<br>
> >><br>
> >>   i am running snort as a service and i added two pairs of network<br>
> >> interfaces to to /etc/sysconfig/snort<br>
> >> INTERFACE="eth0:eth0.1::eth1:eth1.1"<br>
> >><br>
> >> where eth0.1 and eth1.1 does not have IP address and have enabled<br>
> >> promiscuous mode for all network interfaces<br>
> >><br>
> >> but in /var/log/snort/alert i  get alert from previously defined rule<br>
> >> only when i ping an external host or when i ping one of the interfaces of<br>
> >> the snort machine<br>
> >><br>
> >> i can confirm than snort is running in inline mode and acquiring network<br>
> >> traffic from all network interfaces from /var/log/messages<br>
> >><br>
> >>  afpacket DAQ configured to inline.<br>
> >>  Acquiring network traffic from "eth0:eth0.1::eth1:eth1.1".<br>
> >>  Initializing daemon mode<br>
> >>  Daemon initialized, signaled parent pid: 1726<br>
> >>  Reload thread starting...<br>
> >>  Reload thread started, thread 0x7f2f0055c700 (1746)<br>
> >>  Checking PID path...<br>
> >> PID path stat checked out ok, PID path set to /var/run/<br>
> >>  Writing PID "1745" to file "/var/run//snort_eth0:eth0.1::eth1:eth1.1.pid"<br>
> >><br>
> >>         --== Initialization Complete ==--<br>
> >>  Commencing packet processing (pid=1745)<br>
> >>  Decoding Ethernet<br>
> >>  device eth1.1 entered promiscuous mode<br>
> >>  device eth1 entered promiscuous mode<br>
> >>  device eth0.1 entered promiscuous mode<br>
> >>  device eth0 entered promiscuous mode<br>
> >><br>
> >> i cannot get any traffic local hosts pinging each other ( on the internal<br>
> >> network ) .<br>
> >><br>
> >> please assist<br>
> >><br>
> ><br>
> ><br>
<br>
</div></div>> ------------------------------------------------------------------------------<br>
> One dashboard for servers and applications across Physical-Virtual-Cloud<br>
> Widest out-of-the-box monitoring support with 50+ applications<br>
> Performance metrics, stats and reports that give you Actionable Insights<br>
> Deep dive visibility with transaction tracing using APM Insight.<br>
> <a href="http://ad.doubleclick.net/ddm/clk/290420510;117567292;y" target="_blank">http://ad.doubleclick.net/ddm/clk/290420510;117567292;y</a><br>
<br>
> _______________________________________________<br>
> Snort-users mailing list<br>
> <a href="mailto:Snort-users@lists.sourceforge.net">Snort-users@...7287....sourceforge.net</a><br>
> Go to this URL to change user options or unsubscribe:<br>
> <a href="https://lists.sourceforge.net/lists/listinfo/snort-users" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-users</a><br>
> Snort-users list archive:<br>
> <a href="http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users" target="_blank">http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users</a><br>
><br>
> Please visit <a href="http://blog.snort.org" target="_blank">http://blog.snort.org</a> to stay current on all the latest Snort news!<br>
<span class="HOEnZb"><font color="#888888"><br>
<br>
--<br>
Gregory W. MacPherson, CISSP, Security+, ITIL, Etc.<br>
Founder, IT Security Expert, Global Network Security Exploitation Specialist<br>
<a href="http://www.constellationsecurity.com/greg/" target="_blank">http://www.constellationsecurity.com/greg/</a><br>
wickr: statesman (whitelist mode)<br>
People are bad, therefore we need big government, made up of...PEOPLE!!!<br>
</font></span></blockquote></div><br></div>