<div dir="ltr"><span style="font-size:12.8px">Howdy!</span><br style="font-size:12.8px"><br style="font-size:12.8px"><span style="font-size:12.8px">I'm attempting to utilize FreeBSD 10.1, Suricata 2.1beta4, and NetMap to obtain an inline 10gb/s IDS. I have successfully:</span><br style="font-size:12.8px"><span style="font-size:12.8px">1) setup FreeBSD as a layer 2 bridge (via ifconfig)</span><br style="font-size:12.8px"><span style="font-size:12.8px">2) installed NetMap, confirming it works as expected</span><br style="font-size:12.8px"><span style="font-size:12.8px">3) compiled and installed Suricata with NetMap support</span><br style="font-size:12.8px"><br style="font-size:12.8px"><span style="font-size:12.8px">I'm able to do any of 1, 2, or 3 - However, I seem to be unable to get all three working simultaneously. While the bridge is up, turning on suricata in NetMap=ix0 mode disables the passing of traffic. I can run suricata on the bridge (not in NetMap mode) and get the expected result. </span><br style="font-size:12.8px"><br style="font-size:12.8px"><span style="font-size:12.8px">My next step was to try to use NetMap's bridge program in /usr/src/tools/tools/netmap via:</span><br style="font-size:12.8px"><span style="font-size:12.8px"># ./vale-ctl -n b0</span><br style="font-size:12.8px"><span style="font-size:12.8px"># ./vale-ctl -n b1</span><br style="font-size:12.8px"><span style="font-size:12.8px"># ./vale-ctl -a vale0:b0</span><br style="font-size:12.8px"><span style="font-size:12.8px"># ./vale-ctl -a vale0:ix0</span><br style="font-size:12.8px"><span style="font-size:12.8px"># ./vale-ctl -a vale1:b1</span><br style="font-size:12.8px"><span style="font-size:12.8px"># ./vale-ctl -a vale1:ix1</span><br style="font-size:12.8px"><span style="font-size:12.8px"># ./bridge -i netmap:ix0 -i netmap:ix1</span><br style="font-size:12.8px"><br style="font-size:12.8px"><span style="font-size:12.8px">At this point i now have a successful netmap-only bridge, that passes traffic regardless of the status of FreeBSD's bridge. by running Suricata with --netmap=b0 I'm able to inspect traffic at the expected rate with a 0% drop rate from Suricata....but my passing of the traffic is spotty at best. ~1 to 2 dropped packets (inspected, but not passed) per 30 pings minimum. At worst it can be closer to 25 out of 30 dropped pings.</span><br style="font-size:12.8px"><br style="font-size:12.8px"><span style="font-size:12.8px">My questions are:</span><br style="font-size:12.8px"><span style="font-size:12.8px">1) Has anyone done this before?</span><br style="font-size:12.8px"><span style="font-size:12.8px">2) Am i going about this all wrong? </span><br style="font-size:12.8px"><span style="font-size:12.8px">3) What should be my next step in moving forward, or is this just a waste of energy at this time.</span><br style="font-size:12.8px"><br style="font-size:12.8px"><span style="font-size:12.8px">Sincerely,</span><br style="font-size:12.8px"><span style="font-size:12.8px">Shane Boissevain</span><br></div>