<html><head></head><body bgcolor="#ffffff" text="#4c4c4c" link="#8793c1" vlink="#8793c1"><div>Ok cool...you've got it set up right.  Now...how about the config, any drop rules, and any output from the command below?</div><div><br></div><div>On Sat, 2017-01-28 at 14:50 -0600, Michael David wrote:</div><blockquote type="cite"><div dir="ltr">It's a third physical device, rpi. Using built in eth0, eth1 via usb/rj45 adapter and wlan0 for management.<div class="gmail_extra"><br><div class="gmail_quote">On Sat, Jan 28, 2017 at 2:10 PM, James Lay <span dir="ltr"><<a href="mailto:jlay@...13475..." target="_blank">jlay@...13475...</a>></span> wrote:<br><blockquote type="cite"><div bgcolor="#ffffff" text="#4c4c4c" link="#8793c1" vlink="#8793c1"><div>On Sat, 2017-01-28 at 11:47 -0600, Michael David wrote:</div><blockquote type="cite"><div dir="ltr">I am trying to configure snort to run in inline mode between a cable modem and router.  My config tests fine and will run.  When snort is running all traffic is blocked in and outbound, but the log grows.  When I terminate snort I can view and log all in and outbound traffic and Internet service returns to the LAN.<div><br></div><div>I don't understand why this is happening.  Shouldn't inline mode let all traffic pass and let the rules allow, block and drop?</div><div><br></div><div>Here are some of my configurations and setup for the ports.</div><div><br></div><div>snort -A console -c /etc/snort/snort.conf -Q -i eth0:eth1 --daq afpacket --daq-mode inline</div><div><br></div><div>ifconfig eth0 0.0.0.0<br></div><div><div>ip link set eth0 multicast off</div><div>ip link set eth0 promisc on</div><div>ethtool -s eth0 speed 100 duplex full</div><div>for i in rx tx sg tso ufo gso gro lro; do ethtool -K eth0 $i off; done</div><div><br></div><div>ifconfig eth1 0.0.0.0</div><div>ip link set eth1 multicast off</div><div>ip link set eth1 promisc on</div><div>ethtool -s eth1 speed 100 duplex full</div><div>for i in rx tx sg tso ufo gso gro lro; do ethtool -K eth1 $i off; done</div></div><div>
</div></div>
<pre>------------------------------<wbr>------------------------------<wbr>------------------
<br></pre></blockquote><div><br></div><div>Is this a third physical device like say... *cable modem* <-> *snort device* <-> *router* or do you plan on running inline on the router itself?</div><span class="HOEnZb"><font color="#888888"><div><br></div><div>James</div></font></span></div><br>------------------------------<wbr>------------------------------<wbr>------------------<br>
Check out the vibrant tech community on one of the world's most<br>
engaging tech sites, SlashDot.org! <a href="http://sdm.link/slashdot" rel="noreferrer" target="_blank">http://sdm.link/slashdot</a><br>______________________________<wbr>_________________<br>
Snort-users mailing list<br>
<a href="mailto:Snort-users@lists.sourceforge.net">Snort-users@...3783...<wbr>net</a><br>
Go to this URL to change user options or unsubscribe:<br>
<a href="https://lists.sourceforge.net/lists/listinfo/snort-users" rel="noreferrer" target="_blank">https://lists.sourceforge.net/<wbr>lists/listinfo/snort-users</a><br>
Snort-users list archive:<br>
<a href="http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users" rel="noreferrer" target="_blank">http://sourceforge.net/<wbr>mailarchive/forum.php?forum_<wbr>name=snort-users</a><br>
<br>
Please visit <a href="http://blog.snort.org" rel="noreferrer" target="_blank">http://blog.snort.org</a> to stay current on all the latest Snort news!<br></blockquote></div><br><div class="gmail_signature" data-smartmail="gmail_signature"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><br></div></div></div></div></div></div></div></div></div></div></div>
</div></div>
</blockquote></body></html>