<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=us-ascii">
<meta content="text/html; charset=utf-8">
</head>
<body>
<div>To keep it simple, if you are using the afpacket daq mode, then there is no need to create a bridge. Snort will automatically bridge the interfaces as specified in your command line "-i eth0:eth1".</div>
<div><br>
</div>
<div>Check this document on Snort documentation for running inline Snort using the afpacket daq module and see if it helps:
<a dir="ltr" href="https://s3.amazonaws.com/snort-org-site/production/document_files/files/000/000/013/original/Snort_IPS_using_DAQ_AFPacket.pdf?AWSAccessKeyId=AKIAIXACIED2SPMSC7GA&Expires=1484929408&Signature=cLxylQYxY45yG6oAECbOBGKVq9A%3D">
https://s3.amazonaws.com/snort-org-site/production/document_files/files/000/000/013/original/Snort_IPS_using_DAQ_AFPacket.pdf</a></div>
<div><br>
</div>
<div>You might also want to turn off NIC features on both interfaces (tso, gro, etc...)<br>
<br>
YM<br>
<div class="acompli_signature"></div>
<br>
</div>
<hr tabindex="-1" style="display:inline-block; width:98%">
<div id="divRplyFwdMsg" dir="ltr"><font face="Calibri, sans-serif" color="#000000" style="font-size:11pt"><b>From:</b> Michael David <michael.d.torino@...11827...><br>
<b>Sent:</b> Friday, January 20, 2017 6:17:30 PM<br>
<b>To:</b> snort-users@lists.sourceforge.net<br>
<b>Subject:</b> [Snort-users] Inline Installation Problem</font>
<div> </div>
</div>
<div>
<div dir="ltr"><br clear="all">
<div>Hello,</div>
<div><br>
</div>
<div>I have setup a Raspberry Pi in inline mode.  I have placed it in between the cable modem and router with eth0 and eth1 bridged to bridge0, all in promiscuous mode and no IPs.  I use the built in wireless for management.  Everything seems to function, pulledpork
 is working, logs and alerts are generated. However all inbound and outbound access is blocked when running.  Here are some of the settings I have used.  I am confused about the daq mode and types.  Using 'snort -i bridge0 -A console' allows viewing of the
 traffic and Internet access is not blocked.</div>
<div><br>
</div>
<div><br>
</div>
<div>#set int to promisc<br>
</div>
<div>
<div>ip link set eth0 multicast off</div>
<div>ip link set eth0 promisc on</div>
<div>ip link set eth1 multicast off</div>
<div>ip link set eth1 promisc on</div>
<div>ip link set bridge0 multicast off</div>
<div>ip link set bridge0 promisc on</div>
</div>
<div><br>
</div>
<div>
<div>#set int to bridge</div>
<div>ifconfig eth0 0.0.0.0</div>
<div>ifconfig eth1 0.0.0.0</div>
<div>ifconfig bridge 0 0.0.0</div>
<div>brctl addbr bridge0</div>
<div>brctl addif bridge0 eth0</div>
<div>brctl addif bridge0 eth1</div>
<div>ifconfig bridge0 up</div>
</div>
<div><br>
</div>
<div>#this is what I am using to start anort</div>
<div>snort -A console -c /etc/snort/snort.conf -Q -i eth0:eth1 --daq afpacket --daq-mode inline<br>
</div>
<div class="gmail_signature">
<div dir="ltr">
<div>
<div dir="ltr">
<div>
<div dir="ltr">
<div>
<div dir="ltr">
<div>
<div dir="ltr">
<div>
<div dir="ltr">
<div>
<div>
<div dir="ltr">
<div>
<div dir="ltr">
<div dir="ltr">
<div dir="ltr"></div>
</div>
</div>
</div>
</div>
</div>
</div>
</div>
</div>
</div>
</div>
</div>
</div>
</div>
</div>
</div>
</div>
</div>
</div>
</div>
</div>
</body>
</html>