
<p dir="ltr">Thank you for the reply Andreas</p>

<p dir="ltr">I will log a bug report.<br></p>

<p dir="ltr">NIC's are Intel x552 and I350.  <br>

</p>

<div class="gmail_extra"><br><div class="gmail_quote">On 31/08/2016 08:14, "Andreas Herz" <<a href="mailto:andi@geekosphere.org" target="_blank">andi@geekosphere.org</a>> wrote:<br type="attribution"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">On 29/08/16 at 15:13, Andrew Thrift wrote:<br>

> Hi List,<br>

><br>

> I have Suricata 3.1.1 on Ubuntu Xenial.  I have successfully<br>

> configured Suricata to use AF_Packet and to listen on multiple<br>

> interfaces, however when I enable BPF filtering on multiple<br>

> interfaces, it seems to stop reception of packets on enp2s0, enp3s0<br>

> and enp4s0.<br>

><br>

> e.g. with the following configuration:<br>

><br>

> #10Gigabit port1<br>

>   - interface: enp1s0<br>

>     cluster-id: 98<br>

>     cluster-type: cluster_flow<br>

>     defrag: yes<br>

>     bpf-filter: vlan 12<br>

> #10Gigabit port2<br>

>   - interface: enp2s0<br>

>     cluster-id: 99<br>

>     cluster-type: cluster_flow<br>

>     defrag: yes<br>

>     bpf-filter: vlan 12<br>

> #1Gbit port1<br>

>   - interface: enp3s0<br>

>     cluster-id: 100<br>

>     cluster-type: cluster_flow<br>

>     defrag: yes<br>

>     bpf-filter: vlan 11<br>

> #1Gbit port2<br>

>   - interface: enp4s0<br>

>     cluster-id: 101<br>

>     cluster-type: cluster_flow<br>

>     defrag: yes<br>

>     bpf-filter: vlan 11<br>

><br>

> Suricata will receive traffic on vlan 12 on enp1s0, but all later<br>

> interfaces will NOT "see" packets.<br>

><br>

> If I remove the BPF filter from enp3s0 and enp4s0 they will start to<br>

> receive all packets (including on vlan11), but enp2s0 will NOT see<br>

> packets on vlan12.<br>

><br>

><br>

> Is this expected behaviour ?<br>

<br>

I don't think so. Can you put this as a bug report on our redmine issue<br>

tracker?<br>

<br>

Also include which network cards you're using. Looks like we need<br>

someone to reproduce it maybe.<br>

<br>

--<br>

Andreas Herz<br>

______________________________<wbr>_________________<br>

Suricata IDS Users mailing list: <a href="mailto:oisf-users@openinfosecfoundation.org">oisf-users@<wbr>openinfosecfoundation.org</a><br>

Site: <a href="http://suricata-ids.org" rel="noreferrer" target="_blank">http://suricata-ids.org</a> | Support: <a href="http://suricata-ids.org/support/" rel="noreferrer" target="_blank">http://suricata-ids.org/<wbr>support/</a><br>

List: <a href="https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users" rel="noreferrer" target="_blank">https://lists.<wbr>openinfosecfoundation.org/<wbr>mailman/listinfo/oisf-users</a><br>

Suricata User Conference November 9-11 in Washington, DC: <a href="http://oisfevents.net" rel="noreferrer" target="_blank">http://oisfevents.net</a></blockquote></div></div>