<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40"><head><meta http-equiv=Content-Type content="text/html; charset=utf-8"><meta name=Generator content="Microsoft Word 14 (filtered medium)"><style><!--
/* Font Definitions */
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
@font-face
        {font-family:Tahoma;
        panose-1:2 11 6 4 3 5 4 4 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0in;
        margin-bottom:.0001pt;
        font-size:12.0pt;
        font-family:"Times New Roman","serif";}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:blue;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {mso-style-priority:99;
        color:purple;
        text-decoration:underline;}
p
        {mso-style-priority:99;
        mso-margin-top-alt:auto;
        margin-right:0in;
        mso-margin-bottom-alt:auto;
        margin-left:0in;
        font-size:12.0pt;
        font-family:"Times New Roman","serif";}
span.EmailStyle18
        {mso-style-type:personal-reply;
        font-family:"Calibri","sans-serif";
        color:#1F497D;}
.MsoChpDefault
        {mso-style-type:export-only;
        font-family:"Calibri","sans-serif";}
@page WordSection1
        {size:8.5in 11.0in;
        margin:1.0in 1.0in 1.0in 1.0in;}
div.WordSection1
        {page:WordSection1;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]--></head><body lang=EN-US link=blue vlink=purple><div class=WordSection1><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'>Maybe the other option is to use af-packet method of IPS.<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal><b><span style='font-size:10.0pt;font-family:"Tahoma","sans-serif"'>From:</span></b><span style='font-size:10.0pt;font-family:"Tahoma","sans-serif"'> oisf-users-bounces@lists.openinfosecfoundation.org [mailto:oisf-users-bounces@lists.openinfosecfoundation.org] <b>On Behalf Of </b>Shirkdog<br><b>Sent:</b> Friday, January 23, 2015 7:18 AM<br><b>To:</b> Andreas Herz<br><b>Cc:</b> oisf-users@lists.openinfosecfoundation.org<br><b>Subject:</b> Re: [Oisf-users] Two questions about using suricata as IPS in production environments<o:p></o:p></span></p><p class=MsoNormal><o:p> </o:p></p><p>You should be able use divert sockets with ipfw on FreeBSD just like Snort to achieve IPS functionality.<o:p></o:p></p><div style='border:none;border-left:solid #CCCCCC 1.0pt;padding:0in 0in 0in 6.0pt;margin-left:4.8pt'><p class=MsoNormal>On 23/01/15 at 12:11, C. L. Martinez wrote:<br>> On Fri, Jan 23, 2015 at 11:59 AM, Andreas Herz <<a href="mailto:andi@geekosphere.org">andi@geekosphere.org</a>> wrote:<br>> > On 23/01/15 at 11:55, C. L. Martinez wrote:<br>> >> On Fri, Jan 23, 2015 at 11:22 AM, Andreas Herz <<a href="mailto:andi@geekosphere.org">andi@geekosphere.org</a>> wrote:<br>> >> > I thought you were just refering to the feature for IPS mode to let the<br>> >> > flow going even when suricata crashes/quits.<br>> >><br>> >> Sure. But, if I am not wrong, if I configure a bridge at SO level, it<br>> >> is not need to deploy a script to watch suricata process .. Right?<br>> ><br>> > I don't understand what you mean with this in detail.<br>> ><br>><br>> oops, sorry. I will try to explain it better. Instead of use a<br>> watchdog/script when some type of problem occurs with suricata at<br>> software level (restart suricata, reload rules, etc..) I can configure<br>> a bridge between two nics in the host. If suricata stops for any<br>> reason, traffic isn't dropped. Correct??<br><br>As i said that depends on your setup, i'm not that familiar with<br>FreeBSD.<br><br>For example i start suricata like this:<br><br> suricata -c /etc/suricata/suricata.config -q 0<br><br>And my relevant part in iptables/netfilter is:<br><br> iptables -A IDS -j NFQUEUE --queue-num 0<br><br>So all packets are going into the QUEUE 0 at which suricata is<br>listening. So when the QUEUE runs into troubles (suricata crashed)<br>traffic stops. So either i have a script to restart suricata, i flush<br>the IDS rule or i use something like –queue-bypass describe here:<br><br><a href="https://home.regit.org/netfilter-en/using-nfqueue-and-libnetfilter_queue/" target="_blank">https://home.regit.org/netfilter-en/using-nfqueue-and-libnetfilter_queue/</a><br><br>Maybe someone with more *BSD experience can help you more.<br><br>--<br>Andreas Herz<br>_______________________________________________<br>Suricata IDS Users mailing list: <a href="mailto:oisf-users@openinfosecfoundation.org">oisf-users@openinfosecfoundation.org</a><br>Site: <a href="http://suricata-ids.org" target="_blank">http://suricata-ids.org</a> | Support: <a href="http://suricata-ids.org/support/" target="_blank">http://suricata-ids.org/support/</a><br>List: <a href="https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users" target="_blank">https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users</a><br>Training now available: <a href="http://suricata-ids.org/training/" target="_blank">http://suricata-ids.org/training/</a><o:p></o:p></p></div></div></body></html>