<div dir="ltr"><a href="http://seclists.org/snort/2012/q4/465">http://seclists.org/snort/2012/q4/465</a><br><br>I have the same problem here and no luck to run Snort in inline mode with IPFW and FreeBSD. Snort does not drop packets. I only get alerts in log files.<br><br>Here is my system<br><br>FreeBSD 9.2-RELEASE amd64<br>Version 2.9.4.6 GRE (Build 73) FreeBSD<br><br>Here is my config:<br><br>IPFW rule:<br>ipfw add 75 divert 8000 ip from any to any<br><br>Snort.conf<br>config daq: ipfw<br>config daq_mode: inline<br>config policy_mode: inline<br>include droprules.rule<br><br>droprules.rule<br>drop icmp any any -> any any (msg:"ICMP test drop"; GID:1; sid:10000001; rev:001; classtype:icmp-event;)<br><br><br>Run Snort in inline mode:<br>snort -c /usr/local/etc/snort/snort.conf -A fast -Q --daq ipfw<br><br>And just got alert messages instead of dropping.<br>02/15-19:33:38.952784  [Drop] [**] [1:10000001:1] ICMP test drop [**] [Classification: Generic ICMP event] [Priority: 3] {ICMP} 10.0.0.116 -> 10.0.0.1<br><br><br>Is this a bug in Snort or am I wrong in some steps?<br>Thanks.<br></div>