<div dir="ltr"><br clear="all"><div>Hi there,</div><div><br></div><div>I have compiled suricata with PFRING, and I want to launch it properly.</div><div><br></div><div><br></div><div>I have found the following documentation regarding the way Suricata needs to be launched:</div><div>







<p class=""><a href="https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Installation_with_PF_RING">https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Installation_with_PF_RING</a></p><p class="">More precisely:</p><p class=""><i>Start up Suricata with PF_RING support:</i></p><p class="">









</p><p class=""><i>sudo /opt/PF_RING/bin/suricata --pfring-int=eth0 --pfring-cluster-id=99 --pfring-cluster-type=cluster_flow -c /etc/suricata/suricata.yaml</i></p><p class=""><i><br></i></p><p class="">In this sense, it seems there is no reference to -i option (using to specify the interfaces which we have to use to sniff traffic). Let's assume I want to use several interfaces to sniff traffic with PFRING configuration. I have also found this other entry, which states that we should specify a '-i' option for each interface we want to use to sniff traffic</p><p class=""><a href="http://blog.inliniac.net/2010/12/24/listening-on-multiple-interfaces-with-suricata/">http://blog.inliniac.net/2010/12/24/listening-on-multiple-interfaces-with-suricata/</a><br></p><p class=""><br></p><p class="">So, let's assume I want to use eth0 and eth1 to sniff traffic. How should I launch suricata?</p><p class=""><b><u>OPTION 1</u></b></p><p class="">/usr/bin/suricata -c /etc/suricata/suricata.yaml -i eth0 -i eth1 --pfring=eth0 --pfring=eth1</p><p class="">(suricata-start log traces shows that using multiple interfaces to sniff traffic is a experimental feature, and suricata log traces show duplicated information for eth0 and eth1)</p><p class=""><br></p><p class=""><b><u>OPTION 2</u></b></p><p class="">/usr/bin/suricata -c /etc/suricata/suricata.yaml --pfring=eth0 --pfring=eth1<br></p><p class=""><br></p><p class=""><b>ANOTHER OPTION???</b></p><p class=""><b><br></b></p><p class="">Thank you very much in advance.</p><p class="">With kind regards,</p><p class="">Alvaro</p></div>
</div>