<div dir="ltr">Thanks Will,<br>"Doc" :  I mean about the configuration according to the emplacement <br>(NAT,Bridge,Host)<br><br>about the PID this is what i had !!!<b> :</b><br><div style="margin-left: 40px;"><font size="1">root@ubuntu:/home/user#<span style="color: rgb(255, 0, 0);"> suricata -c /etc/suricata/suricata.yaml -i eth0 -l ./ -D --pidfile=/var/log/suricata.pid</span></font><br>
<font size="1">[2038] 6/7/2010 -- 11:01:13 - (suricata.c:453) <Info> (main) -- This is Suricata version 0.9.0</font><br><font size="1">[2038] 6/7/2010 -- 11:01:13 - (util-cpu.c:167) <Info> (UtilCpuPrintSummary) -- CPUs Summary: </font><br>
<font size="1">[2038] 6/7/2010 -- 11:01:13 - (util-cpu.c:169) <Info> (UtilCpuPrintSummary) -- CPUs online: 1</font><br><font size="1">[2038] 6/7/2010 -- 11:01:13 - (util-cpu.c:171) <Info> (UtilCpuPrintSummary) -- CPUs configured 1</font><br>
<font size="1">[2038] 6/7/2010 -- 11:01:13 - (output.c:61) <Info> (OutputRegisterModule) -- Output module "AlertFastLog" registered.</font><br><font size="1">[2038] 6/7/2010 -- 11:01:13 - (output.c:61) <Info> (OutputRegisterModule) -- Output module "AlertDebugLog" registered.</font><br>
<font size="1">[2038] 6/7/2010 -- 11:01:13 - (output.c:61) <Info> (OutputRegisterModule) -- Output module "AlertUnifiedLog" registered.</font><br><font size="1">[2038] 6/7/2010 -- 11:01:13 - (output.c:61) <Info> (OutputRegisterModule) -- Output module "AlertUnifiedAlert" registered.</font><br>
<font size="1">[2038] 6/7/2010 -- 11:01:13 - (output.c:61) <Info> (OutputRegisterModule) -- Output module "Unified2Alert" registered.</font><br><font size="1">[2038] 6/7/2010 -- 11:01:13 - (output.c:61) <Info> (OutputRegisterModule) -- Output module "LogHttpLog" registered.</font><br>
<font size="1">root@ubuntu:/home/user#</font><br></div><br><br>Question: I've configured Suricata to run just after the Interface is up, and stops when the int is down,<br>what do you think about this script config ?? is it right !!?<br>
<br><br>Thank you.<br><br><br><br><div class="gmail_quote">2010/7/2 Will Metcalf <span dir="ltr"><<a href="mailto:william.metcalf@gmail.com">william.metcalf@gmail.com</a>></span><br><blockquote class="gmail_quote" style="margin: 0pt 0pt 0pt 0.8ex; border-left: 1px solid rgb(204, 204, 204); padding-left: 1ex;">
<div class="im">On Fri, Jul 2, 2010 at 9:50 AM, Anas.B <<a href="mailto:a.bouhsaina@gmail.com">a.bouhsaina@gmail.com</a>> wrote:<br>
> Hi will,<br>
><br>
> I need documentation about how to set suricata in-line<br>
<br>
</div><a href="http://www.inliniac.net/blog/2010/05/01/compiling-suricata-0-8-2-in-ubuntu-lucid-10-04-in-ips-inline-mode.html" target="_blank">http://www.inliniac.net/blog/2010/05/01/compiling-suricata-0-8-2-in-ubuntu-lucid-10-04-in-ips-inline-mode.html</a><br>

<br>
Anything moving across the bridge that isn't traffic bound for the<br>
host itself moves through the forward chain so if you wanted to sendWh<br>
all traffic moving across the bridge to suricata you would create a<br>
rule like<br>
<br>
iptables -A FORWARD -j NFQUEUE<br>
<div class="im"><br>
> Actually, i'm following this tuto :<br>
> <a href="http://openmaniak.com/fr/inline_bridge.php" target="_blank">http://openmaniak.com/fr/inline_bridge.php</a><br>
> that's why i talked about "bridge mode",<br>
><br>
> You can run it in NAT mode, or on an end host<br>
><br>
> How ? and what's the best to run Suricata in-line ?<br>
<br>
</div>Just depends one what works best for your environment.<br>
<div class="im"><br>
> This example is for which mode ? (Nat,bridge,host !!!)<br>
> iptables -I INPUT -i lo -j ACCEPT<br>
> iptables -I INPUT -p tcp --dport 80 -j NFQUEUE<br>
> iptables -I OUTPUT -p tcp --sport 80 -j NFQUEUE<br>
<br>
</div>This example would be for a host say running a webserver on port 80.<br>
<br>
Regards,<br>
<font color="#888888"><br>
Will<br>
</font></blockquote></div><br></div>