<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Thx Claudio,<br></blockquote><div><br></div><div>Well thank you! :)<br></div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
<br>
ok, could you enable log on http/dns for testing please ? do you have log after ?<br></blockquote><div><br></div><div>Actually the logging of http works. Already before I disabled the checksum validation. I see typical requests to the web server. <br></div><div>And I also see my nmap request in the http log - that's why I'm confused. Suricata sees the traffic from nmap going by, logging it in the http log but does not alert?<br></div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
<br>
where you start nmap please ? internal -> external ? external -> internal ?<br></blockquote><div><br></div><div>I launched nmap from my machine at home in internal network, being natted to an external IP and then straight to the server listening on a public IP, where suricata is installed. The http traffic is then natted from the public to an internal ip. <br></div><div>So: internal -> NAT -> external -> NAT -> internal<br></div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
<br>
what is your nfqueue configuraton please ?<br></blockquote><div><br></div><div>That's exactly the point where I am not sure. Do I have to add an ipfilter rule for the NFQUEUE or not? <br></div><div>Currently there is no NFQUEUE rule nor any special configuration I did on the machine (concerning NFQUEUE).<br></div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
<br>
are you sure nmap check http please ? (http is avalaible ? fw is open ?)<br></blockquote><div><br></div><div>The nmap command is "nmap -Pn -sS -A -f TARGETIP". Yes, it does check for http information, as I can see in the output:<br><br>80/tcp   open   http    nginx<br>|_http-title: XXX<br>|_http-methods: No Allow or Public header in OPTIONS response (status code 200)<br>443/tcp  open   http    nginx<br>|_http-methods: No Allow or Public header in OPTIONS response (status code 400)<br>|_http-title: 400 The plain HTTP request was sent to HTTPS port<br>| ssl-cert: Subject: commonName=*.<a href="http://smartlinksa.ch/organizationName=XXXX/stateOrProvinceName=XXXX/countryName=CH">smartlinksa.ch/organizationName=XXXX/stateOrProvinceName=XXXX/countryName=CH</a><br><br></div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
<br>
could you record network packet like full tcpdump please ?</blockquote><div><br></div><div>Will do that if necessary (and send you private). But I still have some hope its due to the "non-configured" NFQUEUE situation. I have so far believed that this would not be necessary for suricata to run, but maybe it is? As stated above, that's the point where I am not sure.<br></div></div></div></div>