<div dir="ltr"><div>Trying to figure out what modules are required NFQ.  I added those (3) manually, but I am probably missing others, which are less obvious.<br><br></div>Also, was reading about NFQ debug variable, but it errors out, think I have the syntax incorrect.<br><br><br></div><div class="gmail_extra"><br><div class="gmail_quote">On Tue, Nov 29, 2016 at 1:47 PM, James Lay <span dir="ltr"><<a href="mailto:jlay@...14942......" target="_blank">jlay@...13475...</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="HOEnZb"><div class="h5">On 2016-11-29 14:28, J Green wrote:<br>
> Of note, the Snort portion still detects events, and seems to work.<br>
><br>
> What does not work, is legitimate/permitted network access.  This<br>
> leads me to believe that NFQ is the problem, and might not be loaded<br>
> properly upon reboot?<br>
><br>
> On Tue, Nov 29, 2016 at 12:35 PM, J Green <<a href="mailto:corpengineer@...11827...">corpengineer@...11827...</a>><br>
> wrote:<br>
><br>
>> Will try that.<br>
>><br>
>> One thing I noticed is that the nfnetlink modules (nfnetlink,<br>
>> nfnetlink_log, nfnetlink_queue) were not loaded upon reboot.<br>
>><br>
>> I reinstalled them manually.  But it is still not working.<br>
>><br>
>> On Tue, Nov 29, 2016 at 12:23 PM, James Lay<br>
>> <<a href="mailto:jlay@...13475...">jlay@...13475...</a>> wrote:<br>
>><br>
>>> Best is to look like so:<br>
>>><br>
>>> sudo iptables -nvL<br>
>>> sudo iptables -t nat -nvL<br>
>>><br>
>>> before and after testing...that should show you what packets went<br>
>>> where.<br>
>>><br>
>>> James<br>
>>><br>
>>> On 2016-11-29 12:01, J Green wrote:<br>
>>>> Will try that.  This seems like a firewall or NFQ issue.<br>
>>>><br>
>>>> Is there a way to get debug logging out of NFQ?<br>
>>>><br>
>>>> Thank you.<br>
>>>><br>
>>>> On Tue, Nov 29, 2016 at 10:51 AM, James Lay<br>
>>> <<a href="mailto:jlay@...13475...">jlay@...13475...</a>><br>
>>>> wrote:<br>
>>>><br>
>>>>> On 2016-11-29 11:48, J Green wrote:<br>
>>>>>> Upon reboot, I enter those (2) iptables commands manually,<br>
>>> before<br>
>>>>>> running barnyard.<br>
>>>>>><br>
>>>>>> Still does not work.<br>
>>>>>><br>
>>>>>> Thank you.<br>
>>>>>><br>
>>>>>> On Tue, Nov 29, 2016 at 10:41 AM, James Lay<br>
>>>>> <<a href="mailto:jlay@...13475...">jlay@...14553.....</a>><br>
>>>>>> wrote:<br>
>>>>>><br>
>>>>>>> On 2016-11-29 11:31, J Green wrote:<br>
>>>>>>>> Appreciate the response.  Firewalld/iptables is up.  Though<br>
>>> the<br>
>>>>>>> only<br>
>>>>>>>> rule I have in there is for access to the Barnyard web gui.<br>
>>>>>>>><br>
>>>>>>>> Thought that rules for inline were added as follows?<br>
>>>>>>>><br>
>>>>>>>> iptables -t nat -I PREROUTING -j NFQUEUE --queue-num 1<br>
>>>>>>>> iptables -I FORWARD -j NFQUEUE --queue-num 1<br>
>>>>>>>><br>
>>>>>>>> I did have this more granular, only allowing specific ports<br>
>>>>>>> through<br>
>>>>>>>> the bridge, but opened it up for troubleshooting purposes.<br>
>>>>>>>><br>
>>>>>>>> All interfaces are up and respond to pings.  I know that I<br>
>>> am<br>
>>>>>>> missing<br>
>>>>>>>> something simple.<br>
>>>>>>>><br>
>>>>>>>> Thank you.<br>
>>>>>>><br>
>>>>>>> They are added, but once you reboot they are lost.  You'll<br>
>>> need<br>
>>>>> to<br>
>>>>>>> either create a script to readd them on boot or use<br>
>>>>>>> iptables-save/iptables-restore commands.<br>
>>>>>>><br>
>>>>>>> James<br>
>>>>>>><br>
>>>>>>>><br>
>>>>>>>> On Tue, Nov 29, 2016 at 9:25 AM, James Lay<br>
>>>>>>> <<a href="mailto:jlay@...13475...">jlay@...843.....13475...</a>><br>
>>>>>>>> wrote:<br>
>>>>>>>><br>
>>>>>>>>> On 2016-11-28 14:28, J Green wrote:<br>
>>>>>>>>>> Compiled Snort 2.9.8.3 & DAQ, CentOS 7 (VM).<br>
>>>>>>>>>><br>
>>>>>>>>>> It works w/ NFQ inline.  However, if I reboot the VM, NFQ<br>
>>> no<br>
>>>>>>>>> longer<br>
>>>>>>>>>> seems to work.  I do not see anything in the logs, etc.<br>
>>>>>>>>>><br>
>>>>>>>>>> Here is how I am running Snort:<br>
>>>>>>>>>><br>
>>>>>>>>>> snort -Q --daq nfq --daq-var device=eth0 --daq-var queue=1<br>
>>> -c<br>
>>>>>>>>>> /etc/snort/snort.conf &<br>
>>>>>>>>>><br>
>>>>>>>>>> iptables -t nat -I PREROUTING -j NFQUEUE --queue-num 1<br>
>>>>>>>>>> iptables -I FORWARD -j NFQUEUE --queue-num 1<br>
>>>>>>>>>><br>
>>>>>>>>>> barnyard2 -c /etc/snort/barnyard2.conf -d /var/log/snort<br>
>>> -f<br>
>>>>>>>>> <a href="http://snort.us" rel="noreferrer" target="_blank">snort.us</a> [1] [1] [1] [1]<br>
>>>>>>>>>> [1] -w /var/log/snort/barnyard.waldo -g snort -u snort<br>
>>>>>>>>>><br>
>>>>>>>>>> Any input would be appreciated.<br>
>>>>>>>>>><br>
>>>>>>>>>> Thank you.<br>
<br>
</div></div>Could be...check your mods after reboot...in my experience those have<br>
been loaded automatically.<br>
<span class="im HOEnZb"><br>
James<br>
<br>
------------------------------<wbr>------------------------------<wbr>------------------<br>
______________________________<wbr>_________________<br>
Snort-users mailing list<br>
<a href="mailto:Snort-users@lists.sourceforge.net">Snort-users@...3783...<wbr>net</a><br>
Go to this URL to change user options or unsubscribe:<br>
<a href="https://lists.sourceforge.net/lists/listinfo/snort-users" rel="noreferrer" target="_blank">https://lists.sourceforge.net/<wbr>lists/listinfo/snort-users</a><br>
</span><div class="HOEnZb"><div class="h5">Snort-users list archive:<br>
<a href="http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users" rel="noreferrer" target="_blank">http://sourceforge.net/<wbr>mailarchive/forum.php?forum_<wbr>name=snort-users</a><br>
<br>
Please visit <a href="http://blog.snort.org" rel="noreferrer" target="_blank">http://blog.snort.org</a> to stay current on all the latest Snort news!<br>
</div></div></blockquote></div><br></div>