<div dir="ltr"><div>This seems to a snort configuration problem discussed in the past <a href="http://seclists.org/snort/2013/q1/864">http://seclists.org/snort/2013/q1/864</a></div><div><br></div>This is not a pulledpork issue, and pulledpork issues need to be submitted to <a href="https://github.com/shirkdog/pulledpork">https://github.com/shirkdog/pulledpork</a> - ti's better to track the issues where the code lives, but the author is reading snort-users too.<div><br></div><div>Cheers,</div><div><br></div><div>Marcin</div></div><div class="gmail_extra"><br><div class="gmail_quote">On Wed, Nov 29, 2017 at 2:58 AM, Jim Campbell <span dir="ltr"><<a href="mailto:jim@w4bqp.net" target="_blank">jim@w4bqp.net</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
  

    
  
  <div text="#000000" bgcolor="#FFFFFF">
    <p>My apologies if I am addressing the wrong list. If this isn't the
      correct list would some kind soul point me the way?</p>
    <p>I'm running Snort 2.9.9.0 in IPS mode and just upgraded
      Pulledpork to the latest master. (It says the version is 0.7.3
      which doesn't seem like a new version.) I am running on Ubuntu
      16-04.<br>
    </p>
    <p>After updating pulledpork I ran the simple command line:  <code class="m_-5167433108993382713bash m_-5167433108993382713functions">sudo</code> <code class="m_-5167433108993382713bash m_-5167433108993382713plain">/usr/local/bin/pulledpork</code><code class="m_-5167433108993382713bash m_-5167433108993382713plain">.pl -c </code><code class="m_-5167433108993382713bash m_-5167433108993382713plain">/etc/snort/pulledpork</code><code class="m_-5167433108993382713bash m_-5167433108993382713plain">.conf -l <br>
      </code></p>
    <p><code class="m_-5167433108993382713bash m_-5167433108993382713plain">and got the following warnings:<br>
      </code></p>
    <p>Generating Stub Rules....<br>
              An error occurred: WARNING: /etc/snort/snort.conf(190)
      Adapter is in Passive Mode. Hence switching policy mode to tap.</p>
    <p>        An error occurred: WARNING: ip4 normalizations disabled
      because not inline.<br>
      <br>
              An error occurred: WARNING: tcp normalizations disabled
      because not inline.<br>
      <br>
              An error occurred: WARNING: icmp4 normalizations disabled
      because not inline.<br>
      <br>
              An error occurred: WARNING: ip6 normalizations disabled
      because not inline.<br>
      <br>
              An error occurred: WARNING: icmp6 normalizations disabled
      because not inline.<br>
    </p>
    <p>Yet line 190 of /etc/snort/snort.conf says: config
      policy_mode:inline</p>
    <p>I have been getting these warnings ever since I started running
      Snort in IPS mode but finally decided to attempt to find the
      problem.</p>
    <p>Thanks in advance,</p>
    <p>Jim<br>
    </p>
  </div>

<br>______________________________<wbr>_________________<br>
Snort-users mailing list<br>
<a href="mailto:Snort-users@lists.snort.org">Snort-users@lists.snort.org</a><br>
Go to this URL to change user options or unsubscribe:<br>
<a href="https://lists.snort.org/mailman/listinfo/snort-users" rel="noreferrer" target="_blank">https://lists.snort.org/<wbr>mailman/listinfo/snort-users</a><br>
<br>
Please visit <a href="http://blog.snort.org" rel="noreferrer" target="_blank">http://blog.snort.org</a> to stay current on all the latest Snort news!<br>
<br>
Please follow these rules: <a href="https://snort.org/faq/what-is-the-mailing-list-etiquette" rel="noreferrer" target="_blank">https://snort.org/faq/what-is-<wbr>the-mailing-list-etiquette</a><br>
<br></blockquote></div><br></div>