<div dir="ltr">No, with suricata running, it's fine<br><br>I don't know what to say or to do to thank you :)<br><br>I don't know if i can ask you again during my installation and research about Suricata<br><br>
Tank you.<br><br>before changing the rule (without protocol)<br>we have this log :<br><br>06/14/10-13:14:30.774567 <b><a href="http://www.facebook.com">www.facebook.com</a></b> [**] / [**] Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.9.2.3) Gecko/20100423 Ubuntu/10.04 (lucid) Firefox/3.6.3 [**] <a href="http://192.168.44.135:55433">192.168.44.135:55433</a> -> <a href="http://69.63.189.26:80">69.63.189.26:80</a><br>
06/14/10-13:14:31.258973 <a href="http://static.ak.fbcdn.net">static.ak.fbcdn.net</a> [**] /rsrc.php/zCPKQ/hash/9fysy1oy.css [**] Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.9.2.3) Gecko/20100423 Ubuntu/10.04 (lucid) Firefox/3.6.3 [**] <a href="http://192.168.44.135:40405">192.168.44.135:40405</a> -> <a href="http://195.27.154.34:80">195.27.154.34:80</a><br>
06/14/10-13:14:31.274580 <a href="http://static.ak.fbcdn.net">static.ak.fbcdn.net</a> [**] /rsrc.php/z12E0/hash/8q2anwu7.gif [**] Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.9.2.3) Gecko/20100423 Ubuntu/10.04 (lucid) Firefox/3.6.3 [**] <a href="http://192.168.44.135:40406">192.168.44.135:40406</a> -> <a href="http://195.27.154.34:80">195.27.154.34:80</a><br>
06/14/10-13:14:31.529557 <a href="http://static.ak.fbcdn.net">static.ak.fbcdn.net</a> [**] /rsrc.php/z6XUT/hash/bqmhyox3.jpg [**] Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.9.2.3) Gecko/20100423 Ubuntu/10.04 (lucid) Firefox/3.6.3 [**] <a href="http://192.168.44.135:40406">192.168.44.135:40406</a> -> <a href="http://195.27.154.34:80">195.27.154.34:80</a><br>
06/14/10-13:14:31.536275 <a href="http://static.ak.fbcdn.net">static.ak.fbcdn.net</a> [**] /rsrc.php/zEX21/hash/75j4m1ms.png [**] Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.9.2.3) Gecko/20100423 Ubuntu/10.04 (lucid) Firefox/3.6.3 [**] <a href="http://192.168.44.135:40405">192.168.44.135:40405</a> -> <a href="http://195.27.154.34:80">195.27.154.34:80</a><br>
06/14/10-13:14:31.637614 <a href="http://static.ak.fbcdn.net">static.ak.fbcdn.net</a> [**] /rsrc.php/z8OGI/hash/41j5eq4v.png [**] Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.9.2.3) Gecko/20100423 Ubuntu/10.04 (lucid) Firefox/3.6.3 [**] <a href="http://192.168.44.135:40408">192.168.44.135:40408</a> -> <a href="http://195.27.154.34:80">195.27.154.34:80</a><br>
06/14/10-13:14:31.643865 <a href="http://static.ak.fbcdn.net">static.ak.fbcdn.net</a> [**] /rsrc.php/z9P6V/hash/1icttijq.jpg [**] Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.9.2.3) Gecko/20100423 Ubuntu/10.04 (lucid) Firefox/3.6.3 [**] <a href="http://192.168.44.135:40407">192.168.44.135:40407</a> -> <a href="http://195.27.154.34:80">195.27.154.34:80</a><br>
06/14/10-13:14:31.684912 <a href="http://static.ak.fbcdn.net">static.ak.fbcdn.net</a> [**] /rsrc.php/z9Q0Q/hash/8yhim1ep.ico [**] Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.9.2.3) Gecko/20100423 Ubuntu/10.04 (lucid) Firefox/3.6.3 [**] <a href="http://192.168.44.135:40409">192.168.44.135:40409</a> -> <a href="http://195.27.154.34:80">195.27.154.34:80</a><br>
06/14/10-13:14:32.385586 <a href="http://static.ak.fbcdn.net">static.ak.fbcdn.net</a> [**] /rsrc.php/z31SK/p/hash/clmpf3e7.js [**] Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.9.2.3) Gecko/20100423 Ubuntu/10.04 (lucid) Firefox/3.6.3 [**] <a href="http://192.168.44.135:40406">192.168.44.135:40406</a> -> <a href="http://195.27.154.34:80">195.27.154.34:80</a><br>
06/14/10-13:14:32.392440 <a href="http://static.ak.fbcdn.net">static.ak.fbcdn.net</a> [**] /rsrc.php/zBBP5/p/hash/6g517tdl.js [**] Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.9.2.3) Gecko/20100423 Ubuntu/10.04 (lucid) Firefox/3.6.3 [**] <a href="http://192.168.44.135:40405">192.168.44.135:40405</a> -> <a href="http://195.27.154.34:80">195.27.154.34:80</a><br>
<br>but I think it's a false positive, or bug, because I noticed that it's not alert of my rule, but it happens even when i enter to youtube<br><br>the second test of the new rule : <b>drop tcp any any -> any any (msg:"Facebook forbidden"; content:"facebook";sid:1;)</b><br>

didn't drop :<br><br><blockquote style="margin: 0pt 0pt 0pt 0.8ex; border-left: 1px solid rgb(204, 204, 204); padding-left: 1ex;" class="gmail_quote"><font size="1">[3747] 14/6/2010 -- 14:37:53 - (source-nfq.c:533) <Info> (VerdictNFQThreadExitStats) -- (Verdict) Pkts accepted 179, <font size="2"><b>dropped 0</b></font></font><br>
<font size="1">[3749] 14/6/2010 -- 14:37:53 - (alert-fastlog.c:256) <Info> (AlertFastLogExitPrintStats) -- (Outputs) Alerts 0</font><br><font size="1">[3749] 14/6/2010 -- 14:37:53 - (alert-unified-log.c:304) <Info> (AlertUnifiedLogThreadDeinit) -- Alert unified1 log module wrote 0 alerts</font><br>
<font size="1">[3749] 14/6/2010 -- 14:37:53 - (alert-unified-alert.c:281) <Info> (AlertUnifiedAlertThreadDeinit) -- Alert unified1 alert module wrote 0 alerts</font><br><font size="1">[3749] 14/6/2010 -- 14:37:53 - (alert-unified2-alert.c:582) <Info> (Unified2AlertThreadDeinit) -- Alert unified2 module wrote 0 alerts</font><br>
<font size="1">[3749] 14/6/2010 -- 14:37:53 - (log-httplog.c:391) <Info> (LogHttpLogExitPrintStats) -- (Outputs) HTTP requests 5</font><br><font size="1">[3749] 14/6/2010 -- 14:37:53 - (alert-debuglog.c:254) <Info> (AlertDebugLogExitPrintStats) -- (Outputs) Alerts 0</font><br>
<font size="1">[3750] 14/6/2010 -- 14:37:53 - (flow.c:767) <Info> (FlowManagerThread) -- 0 new flows, 0 established flows were timed out, 0 flows in closed state</font><br><font size="1">[3737] 14/6/2010 -- 14:37:53 - (flow.c:588) <Info> (FlowPrintQueueInfo) -- flowbits added: 0, removed: 0, max memory usage: 0</font><br>
<font size="1">[3737] 14/6/2010 -- 14:37:53 - (stream-tcp.c:365) <Info> (StreamTcpFreeConfig) -- Max memuse of stream engine 15022024 (in use 0)</font><br><font size="1">[3737] 14/6/2010 -- 14:37:53 - (detect.c:2492) <Info> (SigAddressCleanupStage1) -- cleaning up signature grouping structure...</font><br>
<font size="1">[3737] 14/6/2010 -- 14:37:53 - (detect.c:2509) <Info> (SigAddressCleanupStage1) -- cleaning up signature grouping structure... done</font><br></blockquote><br><div><div>even if i've changed "drop" to "alert" i didn't get my alert (<i>facebook is forbidden</i>)<br>
<br>(I restart suricata each time).<br><br><br>Regards.<br><br><div class="gmail_quote">2010/6/14 Pablo <span dir="ltr"><<a href="mailto:pablo.rincon.crespo@gmail.com">pablo.rincon.crespo@gmail.com</a>></span><br><blockquote class="gmail_quote" style="margin: 0pt 0pt 0pt 0.8ex; border-left: 1px solid rgb(204, 204, 204); padding-left: 1ex;">
<p>if you setup the rules to filter with suricata, then suricata needs to be running, otherwise all the traffic is dropped, since no program sets a veredict to allow or deny each packet. Is this happening with suricata running?</p>


<p></p><blockquote type="cite">El 14/06/2010 14:45, "Anas.B" <<a href="mailto:a.bouhsaina@gmail.com" target="_blank">a.bouhsaina@gmail.com</a>> escribió:<br><br><div dir="ltr"><div class="im">Thank youu,<br>
<br>I have a problem,<br>now, when i flush iptables the ping between both machines is successful<br>
but , when i configure the INPUT/OUPUT -j NFQUEUE , I loose connection, no ping even to the localhost<br>
<br>do you know why , help meeee, and sorry .<br><br><br></div><div class="gmail_quote"><div class="im">2010/6/14 Pablo <span dir="ltr"><<a href="mailto:pablo.rincon.crespo@gmail.com" target="_blank">pablo.rincon.crespo@gmail.com</a>></span></div>
<p>
<font color="#500050"><br>><br>> On my last mail I wrote the rule of the example without a protocol (my apologizes, I forgot it)...</font></p></div><br></div>
</blockquote>
</blockquote></div><br></div></div></div>