
<div dir="ltr">Hi will,<br><br>I need documentation about how to set suricata in-line<br><br>Actually, i'm following this tuto :  

<a href="http://openmaniak.com/fr/inline_bridge.php">http://openmaniak.com/fr/inline_bridge.php</a><br>

that's why i talked about "bridge mode", <br>

<blockquote>You can run it in NAT mode, or on an end host<br></blockquote>How ? and what's the best to run Suricata in-line ?<br><br>This example is for which mode ? (Nat,bridge,host !!!)<br><div><div><div style="margin-left: 40px; color: rgb(51, 51, 153);">

iptables -I INPUT -i lo -j ACCEPT<br>

iptables -I INPUT -p tcp --dport 80 -j NFQUEUE<br>

iptables -I OUTPUT -p tcp --sport 80 -j NFQUEUE<br></div><br>thank's<br><br><span style="color: rgb(192, 192, 192);">Anas</span><br><br><div class="gmail_quote">2010/7/2 Will Metcalf <span dir="ltr"><<a href="mailto:william.metcalf@gmail.com">william.metcalf@gmail.com</a>></span><br>

<blockquote class="gmail_quote" style="margin: 0pt 0pt 0pt 0.8ex; border-left: 1px solid rgb(204, 204, 204); padding-left: 1ex;"><div class="im">> To run Suricata as IPS, we have to set it in-line as  Bridge, with 2 or 3<br>


> interfaces,<br>

> am i wrong ?<br>

<br>

</div>You can run it in NAT mode, or on an end host by queuing traffic to<br>

your INPUT/OUTPUT chains.  For example if you wanted to inspect<br>

traffic going to a local web-server you can do something like<br>

<br>

iptables -I INPUT -i lo -j ACCEPT<br>

iptables -I INPUT -p tcp --dport 80 -j NFQUEUE<br>

iptables -I OUTPUT -p tcp --sport 80 -j NFQUEUE<br>

<div class="im"><br>

<br>

> I've configure it to start when the interface is up, and it is managed by<br>

> "network manager" in Ubuntu 10.4<br>

> When i disconnect the interface, Suricata Stops, and vise versa<br>

><br>

> but what should i do if i want to stop Suricata manually ?<br>

</div>you can always use something like "killall suricata".<br>

<br>

If you are scripting startup and shutdown of daemon mode use the<br>

--pidfile option<br>

<br>

suricata -c suricata.yaml -i wlan0 -l ./ -D --pidfile=/var/run/suricata.pid<br>

<br>

you can then do something like the following in a script<br>

<br>

kill `cat /var/run/suricata.pid`<br>

<br>

Regards,<br>

<font color="#888888"><br>

Will<br>

</font></blockquote></div><br></div></div></div>