<div>I had problems with both patches:</div><div><br></div><div>Patch 1:</div><div><div>patching file source-nfq.c</div><div>Hunk #1 FAILED at 247.</div><div>Hunk #2 FAILED at 320.</div><div>2 out of 2 hunks FAILED -- saving rejects to file source-nfq.c.rej</div>

</div><div><br></div><div>Patch 2:</div><div>patching file decode.h</div><div>patching file source-ipfw.c</div><div>Hunk #1 FAILED at 518.</div><div>1 out of 1 hunk FAILED -- saving rejects to file source-ipfw.c.rej</div>

<div>patching file source-nfq.c</div><div>Hunk #1 FAILED at 339.</div><div>Hunk #2 FAILED at 918.</div><div>2 out of 2 hunks FAILED -- saving rejects to file source-nfq.c.rej</div><div>patching file source-nfq.h</div><div>

patching file tmqh-packetpool.c</div><div>Hunk #1 succeeded at 49 with fuzz 1.</div><div>Hunk #2 FAILED at 159.</div><div>Hunk #3 FAILED at 192.</div><div>2 out of 3 hunks FAILED -- saving rejects to file tmqh-packetpool.c.rej</div>

<div><br></div><div>I manually edited the files. But still have problems in compilation. Specifically with patch 1</div><div><br></div><div><div>source-nfq.c: In function âNFQCallBackâ:</div><div>source-nfq.c:322:32: error: "t" undeclared (first use in this function)</div>

<div>source-nfq.c:322:32: note: each undeclared identifier is reported only once for each function it appears in</div><div><br></div><div><br></div><div>source-nfq.c: In function "NFQSetVerdict":</div><div>source-nfq.c:798:2: warning: âreturnâ with no value, in function returning non-void</div>

</div><div><br></div><div>In my source-nfq.c I had this function declaration.</div><div>void <span style="color:rgb(51, 51, 51);font-family:arial, sans-serif;font-size:13px;background-color:rgb(255, 255, 255)">NFQSetVerdict(Packet *p) {</span></div>

<div><br></div><div>But in the patch 2, it looks like that function returns TmEcode</div><div><span style="color:rgb(51, 51, 51);font-family:arial, sans-serif;font-size:13px;background-color:rgb(255, 255, 255)">TmEcode NFQSetVerdict(Packet *p) {</span></div>

<div><br></div><div>I changed it, as it was in the patch thus there is a warning because there is a void return in the code.</div><div><br></div><div><div>TmEcode NFQSetVerdict(Packet *p) {</div><div>    int iter = 0;</div>

<div>    /* can't verdict a "fake" packet */</div><div>    if (p->flags & PKT_PSEUDO_STREAM_END) {</div><div>          return;</div><div>    }</div></div><div><br></div>I am working with the last repository in git. Could you give a hand please?<div>

<br></div><div><br><div class="gmail_quote">2011/8/17 Fernando Ortiz <span dir="ltr"><<a href="mailto:fernando.ortiz.f@gmail.com" target="_blank">fernando.ortiz.f@gmail.com</a>></span><br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

Great! I will test both right now. Thank you. <div><div></div><div><br><br><div class="gmail_quote">2011/8/17 Eric Leblond <span dir="ltr"><<a href="mailto:eric@regit.org" target="_blank">eric@regit.org</a>></span><br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Hello again,<br>
<div><br>
On Wed, 2011-08-17 at 16:53 +0200, Eric Leblond wrote:<br>
> Hi again,<br>
><br>
> On Wed, 2011-08-17 at 16:28 +0200, Eric Leblond wrote:<br>
> > Hello,<br>
> ><br>
> > On Tue, 2011-08-16 at 14:30 -0500, Fernando Ortiz wrote:<br>
> > > Sorry the late of the answer. I got a server to make more test in<br>
> > > production again.<br>
> ><br>
> > No problem, I was on holiday :P<br>
> ><br>
> > > I patched Suricata. I still have the same problem with packets stucked<br>
> ><br>
> > Bad news.<br>
> ><br>
> > If you have some time, could you test the attached patch.<br>
><br>
> This is not necessary to test this patch: I've continued to study the<br>
> problem. There is an issue with the code pointed out by the patch but<br>
> this can not explain the problem.<br>
<br>
</div>Two patches will follow this mail. The fist one improves the error<br>
handling in NFQ and suppress one of the potential source of ghost<br>
packets. The second one is more generic but it should fix one other<br>
potential source.<br>
<br>
Both patches display explicit message in log level warning. If something<br>
occurs, you will not missed it.<br>
<br>
BR,<br>
<font color="#888888">--<br>
</font><div><div></div><div>Eric Leblond<br>
Blog: <a href="http://home.regit.org/" target="_blank">http://home.regit.org/</a><br>
</div></div></blockquote></div><br><br clear="all"><div><br></div><br> <br>
</div></div></blockquote></div><div><br></div> <br>
</div>