
<p dir="ltr">You should be able use divert sockets with ipfw on FreeBSD just like Snort to achieve IPS functionality.</p>

<div class="gmail_quot<blockquote class=" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">On 23/01/15 at 12:11, C. L. Martinez wrote:<br>

> On Fri, Jan 23, 2015 at 11:59 AM, Andreas Herz <<a href="mailto:andi@geekosphere.org">andi@geekosphere.org</a>> wrote:<br>

> > On 23/01/15 at 11:55, C. L. Martinez wrote:<br>

> >> On Fri, Jan 23, 2015 at 11:22 AM, Andreas Herz <<a href="mailto:andi@geekosphere.org">andi@geekosphere.org</a>> wrote:<br>

> >> > I thought you were just refering to the feature for IPS mode to let the<br>

> >> > flow going even when suricata crashes/quits.<br>

> >><br>

> >> Sure. But, if I am not wrong, if I configure a bridge at SO level, it<br>

> >> is not need to deploy a script to watch suricata process .. Right?<br>

> ><br>

> > I don't understand what you mean with this in detail.<br>

> ><br>

><br>

> oops, sorry. I will try to explain it better. Instead of use a<br>

> watchdog/script when some type of problem occurs with suricata at<br>

> software level (restart suricata, reload rules, etc..) I can configure<br>

> a bridge between two nics in the host. If suricata stops for any<br>

> reason, traffic isn't dropped. Correct??<br>

<br>

As i said that depends on your setup, i'm not that familiar with<br>

FreeBSD.<br>

<br>

For example i start suricata like this:<br>

<br>

 suricata -c /etc/suricata/suricata.config -q 0<br>

<br>

And my relevant part in iptables/netfilter is:<br>

<br>

 iptables -A IDS -j NFQUEUE --queue-num 0<br>

<br>

So all packets are going into the QUEUE 0 at which suricata is<br>

listening. So when the QUEUE runs into troubles (suricata crashed)<br>

traffic stops. So either i have a script to restart suricata, i flush<br>

the IDS rule or i use something like –queue-bypass describe here:<br>

<br>

<a href="https://home.regit.org/netfilter-en/using-nfqueue-and-libnetfilter_queue/" target="_blank">https://home.regit.org/netfilter-en/using-nfqueue-and-libnetfilter_queue/</a><br>

<br>

Maybe someone with more *BSD experience can help you more.<br>

<br>

--<br>

Andreas Herz<br>

_______________________________________________<br>

Suricata IDS Users mailing list: <a href="mailto:oisf-users@openinfosecfoundation.org">oisf-users@openinfosecfoundation.org</a><br>

Site: <a href="http://suricata-ids.org" target="_blank">http://suricata-ids.org</a> | Support: <a href="http://suricata-ids.org/support/" target="_blank">http://suricata-ids.org/support/</a><br>

List: <a href="https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users" target="_blank">https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users</a><br>

Training now available: <a href="http://suricata-ids.org/training/" target="_blank">http://suricata-ids.org/training/</a></div>