<div dir="ltr"><div>Hello All,</div><div><br></div><div>Am I able to get some assistance with respect to running Af-Packet on suricata?</div><div>I have configured the interfaces and copy-ifaces with mm-map, however, it would seem the bridge is not forming?</div><div>I can see packets traverse the interfaces, the interfaces themselves are in promiscuous mode. Suricata seems to be running fine as per the log. However, either interfaces on the edge devices are not seeing eachother.</div><div><br></div><div>24/7/2015 -- 16:13:05 - <Info> - http-log output device (regular) initialized: http.log<br>24/7/2015 -- 16:13:05 - <Info> - Adding interface enp14s0f0 from config file<br>24/7/2015 -- 16:13:05 - <Info> - Adding interface enp14s0f1 from config file<br>24/7/2015 -- 16:13:05 - <Info> - Enabling mmaped capture on iface enp14s0f0<br>24/7/2015 -- 16:13:05 - <Info> - AF_PACKET TAP mode activated enp14s0f0->enp14s0f1<br>24/7/2015 -- 16:13:05 - <Info> - Using flow cluster mode for AF_PACKET (iface enp14s0f0)<br>24/7/2015 -- 16:13:05 - <Info> - Using defrag kernel functionality for AF_PACKET (iface enp14s0f0)<br>24/7/2015 -- 16:13:05 - <Info> - Going to use 1 thread(s)<br>24/7/2015 -- 16:13:05 - <Info> - Enabling zero copy mode<br>24/7/2015 -- 16:13:05 - <Info> - Enabling zero copy mode by using data release call<br>24/7/2015 -- 16:13:05 - <Info> - Enabling mmaped capture on iface enp14s0f1<br>24/7/2015 -- 16:13:05 - <Info> - AF_PACKET TAP mode activated enp14s0f1->enp14s0f0<br>24/7/2015 -- 16:13:05 - <Info> - Using flow cluster mode for AF_PACKET (iface enp14s0f1)<br>24/7/2015 -- 16:13:05 - <Info> - Using defrag kernel functionality for AF_PACKET (iface enp14s0f1)<br>24/7/2015 -- 16:13:05 - <Info> - Going to use 1 thread(s)<br>24/7/2015 -- 16:13:05 - <Info> - Enabling zero copy mode<br>24/7/2015 -- 16:13:05 - <Info> - Enabling zero copy mode by using data release call<br>24/7/2015 -- 16:13:05 - <Info> - Found an MTU of 1500 for 'enp14s0f1'<br>24/7/2015 -- 16:13:05 - <Info> - Found an MTU of 1500 for 'enp14s0f0'<br>24/7/2015 -- 16:13:05 - <Info> - RunModeIdsAFPWorkers initialised<br>24/7/2015 -- 16:13:05 - <Notice> - all 2 packet processing threads, 3 management threads initialized, engine started.<br>24/7/2015 -- 16:13:05 - <Info> - Setting AF_PACKET socket buffer to 64535<br>24/7/2015 -- 16:13:05 - <Info> - Generic Receive Offload is unset on enp14s0f0<br>24/7/2015 -- 16:13:05 - <Info> - Large Receive Offload is unset on enp14s0f0<br>24/7/2015 -- 16:13:05 - <Info> - AF_PACKET RX Ring params: block_size=32768 block_nr=15001 frame_size=1584 frame_nr=300020<br>24/7/2015 -- 16:13:05 - <Info> - Using interface 'enp14s0f0' via socket 9<br>24/7/2015 -- 16:13:05 - <Info> - Thread AFPacketenp14s0 using socket 9<br>24/7/2015 -- 16:13:05 - <Info> - Setting AF_PACKET socket buffer to 64535<br>24/7/2015 -- 16:13:05 - <Info> - Generic Receive Offload is unset on enp14s0f1<br>24/7/2015 -- 16:13:05 - <Info> - Large Receive Offload is unset on enp14s0f1<br>24/7/2015 -- 16:13:05 - <Info> - AF_PACKET RX Ring params: block_size=32768 block_nr=15001 frame_size=1584 frame_nr=300020<br>24/7/2015 -- 16:13:06 - <Info> - Using interface 'enp14s0f1' via socket 10<br>24/7/2015 -- 16:13:06 - <Info> - All AFP capture threads are running.<br>24/7/2015 -- 16:13:06 - <Info> - Thread AFPacketenp14s0 using socket 10<br>24/7/2015 -- 16:13:06 - <Info> - Starting to read on AFPacketenp14s0<br>24/7/2015 -- 16:13:06 - <Info> - Starting to read on AFPacketenp14s0</div><div><br></div><div><br></div><div>Thanks in advance.<br></div></div>