<html>

<head>

<meta http-equiv="Content-Type" content="text/html; charset=us-ascii">

</head>

<body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; ">

Hi Eric, thanks for hints and tips.

<div><br>

</div>

<div>actually i have this two queue:</div>

<div>iptables -A FORWARD -i br0 -j NFQUEUE --queue-bypass --queue-num 1 (Network 192.168.1.0/24)</div>

<div>iptables -A FORWARD -i br2 -j NFQUEUE --queue-bypass --queue-num 2 (Network 192.168.100.0/24) </div>

<div><br>

</div>

<div><span style="white-space: pre-wrap;">I will not lose this traffic on port 6101, otherwise my backup software does not work (sure drop this</span> traffic in IPS mode)<span style="white-space: pre-wrap;">.</span></div>

<div>

<div class="force_dir" style="white-space: pre-wrap; "><font lang="en">Only suri should not watch the traffic, so that the backup is successful.</font></div>

</div>

<div><br>

</div>

<div><span style="white-space: pre-wrap; ">How should I fix this with your example?</span></div>

<div><span style="white-space: pre-wrap; ">thx</span></div>

<div><span style="white-space: pre-wrap; ">Stefan</span></div>

<div> <br>

<div>

<div>Am 13.03.2013 um 15:07 schrieb Eric Leblond <<a href="mailto:eric@regit.org">eric@regit.org</a>></div>

<div>:</div>

<br class="Apple-interchange-newline">

<blockquote type="cite">Hi,<br>

<br>

On Wed, 2013-03-13 at 13:57 +0000, Stefan Sabolowitsch wrote:<br>

<blockquote type="cite">Hi Victor, thanks for your fast answer.<br>

But how can i "exclude" such traffic /alarming / drop (IPS-Mode) , will threshold.conf here help ?<br>

</blockquote>

<br>

Just queue the packet you want with NFQUEUE. It could looks like:<br>

iptables -I FORWARD -s 192.168.1.0/24  -p tcp --dport 6101 -j NFQUEUE<br>

iptables -I FORWARD -s 192.168.1.0/24  -p tcp --sport 6101 -j NFQUEUE<br>

...<br>

<br>

BR,<br>

<blockquote type="cite">thx<br>

Stefan<br>

<br>

Am 13.03.2013 um 14:50 schrieb Victor Julien <<a href="mailto:lists@inliniac.net">lists@inliniac.net</a>><br>

:<br>

<br>

<blockquote type="cite">On 03/13/2013 12:05 PM, Stefan Sabolowitsch wrote:<br>

<blockquote type="cite">Hi all, i have here sure 1.4.1 in nfq / inline mode.<br>

I use always this filter (exclude Backup stream server <-> client):<br>

<br>

not ((src net 192.168.1.0/24 and (dst port 6101 or dst port 10000 or dst portrange 1025-1100)) or (src net 192.168.100.0/24 and (src port 6101 or src port 10000 or src portrange 1025-1100)))<br>

<br>

But i found this in fast.log.<br>

<br>

03/13/2013-00:18:44.414738  [**] [1:648:7] GPL SHELLCODE x86 NOOP [**] [Classification: Executable Code was Detected] [Priority: 1] {TCP} 192.168.100.20:1025 -> 192.168.1.37:61817<br>

<br>

start options:<br>

Executing: suricata --user sguil --group sguil -c /etc/nsm/Serrig-intern/suricata.yaml -F /etc/nsm/Serrig-intern/bpf.filt -q 1 -l /nsm/sensor_data/Serrig-intern<br>

<br>

Without inline mode, this filter will work.<br>

</blockquote>

<br>

This is correct. It will not work in IPS mode. I have just created bug<br>

777 to make sure we generate an error/warning in the future.<br>

<br>

-- <br>

---------------------------------------------<br>

Victor Julien<br>

<a href="http://www.inliniac.net/">http://www.inliniac.net/</a><br>

PGP: http://www.inliniac.net/victorjulien.asc<br>

---------------------------------------------<br>

<br>

_______________________________________________<br>

Suricata IDS Users mailing list: oisf-users@openinfosecfoundation.org<br>

Site: http://suricata-ids.org | Support: http://suricata-ids.org/support/<br>

List: https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users<br>

OISF: http://www.openinfosecfoundation.org/<br>

<br>

</blockquote>

<br>

<br>

_______________________________________________<br>

Suricata IDS Users mailing list: <a href="mailto:oisf-users@openinfosecfoundation.org">

oisf-users@openinfosecfoundation.org</a><br>

Site: <a href="http://suricata-ids.org">http://suricata-ids.org</a> | Support: <a href="http://suricata-ids.org/support/">

http://suricata-ids.org/support/</a><br>

List: <a href="https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users">

https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users</a><br>

OISF: <a href="http://www.openinfosecfoundation.org/">http://www.openinfosecfoundation.org/</a><br>

</blockquote>

<br>

-- <br>

Eric Leblond <<a href="mailto:eric@regit.org">eric@regit.org</a>><br>

Blog: <a href="https://home.regit.org/">https://home.regit.org/</a><br>

<br>

<br>

</blockquote>

</div>

<br>

</div>

</body>

</html>