
Ya except that we only support NFQUEUE so....<br><br>iptables -I FORWARD -i br0 -p all -j NFQUEUE <br><br>This sends everything to queue 0.  I think the qid stuff needs to be fixed still though.  I will check and open a ticket if needed. Eventually the idea is that we have multiple threads or Suricata processes dealing with different traffic.  Or maybe we re-implement some sort of queue load balancer similar to what Dave Ramien from Nitro Security developed for snort_inline. This is all possible because NFQUEUE allows you to have multiple queue targets via the --queue-num  option. <br>


<br>Regards,<br><br>Will<br><br><div class="gmail_quote">On Fri, Jan 22, 2010 at 4:43 PM, Brant Wells <span dir="ltr"><<a href="mailto:bwells@tfc.edu" target="_blank">bwells@tfc.edu</a>></span> wrote:<br><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">


<div link="blue" vlink="purple" lang="EN-US">


<div>


<p class="MsoNormal">Hi All,</p>


<p class="MsoNormal"> </p>


<p class="MsoNormal">I was just curious as to whether or not Suricata runs in

Inline mode as an IPS now?</p>


<p class="MsoNormal"> </p>


<p class="MsoNormal">If so, the –q parameter asks for a qid – is this

an arbitrary number, or does it match up with something from say…

iptables?</p>


<p class="MsoNormal"> </p>


<p class="MsoNormal">To that end…. When I run Snort (in inline mode), I

have to use </p>


<p class="MsoNormal"> </p>


<p class="MsoNormal">iptables -I FORWARD -i br0 -p all -j QUEUE</p>


<p class="MsoNormal"> </p>


<p class="MsoNormal">Do I need to run that for Suricata in inline mode as well?</p>


<p class="MsoNormal"> </p>


<p class="MsoNormal">Thanks!<br>

~Brant</p>


<p class="MsoNormal"> </p>


</div>


</div>


<br>_______________________________________________<br>

Oisf-users mailing list<br>

<a href="mailto:Oisf-users@openinfosecfoundation.org" target="_blank">Oisf-users@openinfosecfoundation.org</a><br>

<a href="http://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users" target="_blank">http://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users</a><br>

<br></blockquote></div><br>