Hi,<br><br>may be something like this could be useful:<br><a href="http://www.rocksclusters.org/wordpress/">http://www.rocksclusters.org/wordpress/</a><br><br>however it is based on CentOS.<br><br>Thanks<br><br><div class="gmail_quote">
On Thu, Apr 12, 2012 at 5:05 AM, Seth Hall <span dir="ltr"><<a href="mailto:seth@icir.org">seth@icir.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<div class="im"><br>
On Apr 11, 2012, at 10:46 PM, Christopher Sheats wrote:<br>
<br>
> Say, 2 to N of these:<br>
> <a href="http://www.newegg.com/Product/Product.aspx?Item=N82E16813153239" target="_blank">http://www.newegg.com/Product/Product.aspx?Item=N82E16813153239</a><br>
> (I haven't seen any announcement of SuperMicro releasing a serverboard<br>
> using the Intel Atom D2700 yet)<br>
<br>
</div>You could send the full traffic stream to each box and run these BPF filters on each Suricata instance:<br>
<br>
Host1:<br>
        (ip[14:2]+ip[18:2]) - (2*((ip[14:2]+ip[18:2])/2)) == 0<br>
<br>
Host2:<br>
        (ip[14:2]+ip[18:2]) - (2*((ip[14:2]+ip[18:2])/2)) == 1<br>
<br>
This only works for packets that are straight ethernet encapsulated (no vlan or mpls tags) and it also doesn't work for IPv6.  If you need to add another host (for a total of three), you can change the "2*" and "/2" to 3's and increment the value on the far right.<br>

<br>
  .Seth<br>
<br>
--<br>
Seth Hall<br>
International Computer Science Institute<br>
(Bro) because everyone has a network<br>
<a href="http://www.bro-ids.org/" target="_blank">http://www.bro-ids.org/</a><br>
<div class="HOEnZb"><div class="h5"><br>
_______________________________________________<br>
Oisf-users mailing list<br>
<a href="mailto:Oisf-users@openinfosecfoundation.org">Oisf-users@openinfosecfoundation.org</a><br>
<a href="http://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users" target="_blank">http://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users</a><br>
</div></div></blockquote></div><br><br clear="all"><br>-- <br><div>Regards,</div>
<div>Peter Manev</div><br>