<div dir="ltr">Pardon.. sorry I wanted to chime in one more time.<br>In this scenario, the Xenserver GUI mentioned in the beginning of this thread  uses / creates "networks"<br><br>When you create a network in the xenserver gui (from what I saw in tut videos on youtube), it actually builds a vswitch and ties it to a Physical NIC. <br><br>You can set that so that the outgoing frame is tagged with a vlan ID. <br>In this case when the physical nic which is connected to the physical switch; the corresponding port would need to be a "tagged port" or "trunk" (cisco speak).<br><br>Because of his complicated VM on xenserver scenario some questions need answered:<br><br>Does he have a vHost running 'Single-Server Private Network'?<br>Or does he have vHost running an 'External network' where he's basically created a vswitch directly tied to a physical nic.?<br><br>I did some studying on how xenserver's gui builds an 'External Network' It does some config under the hood that ultimately might look a somewhat like this:<br><br>In his case assuming he has 'External network' selected:<br>I think it would suffice to think of his first virtual interface(vlan9) as making bridge in /etc/network/interfaces like so:<br>auto br0<br>iface br0 inet static<br>        address 0.0.0.0<br>        netmask 255.255.255.255<br>        bridge_ports eth1<br>        post-up vconfig add br0 9<br>        post-down brctl delbr br0<br><br>and his vlan 10 virtual interface<br><br>auto br1<br>iface br1 inet static<br>        address 0.0.0.0<br>        netmask 255.255.255.255<br>        bridge_ports eth2<br>        post-up vconfig add br1 10<br>        post-down brctl delbr br1<br><br>His Virtual machines are likely tied directly to the br0.9 and the br1.10 interfaces. A lot of assuming going on here on my part so bear with me.<br><br>In this case I would ask:<br>Does he have two virtual networks built? One 'vswitch1' for one side of his bridge and another 'vswitch2' built for the other side of his bridge?<br>Does he have spanning tree protocol enabled on his vswitches? Does he have it enabled on his physical managed switch? All these factors come into play here. If he does, spanning tree protocol most assuredly is shutting down a port somewhere to avoid a switching loop.<br><br>Whether he's using his old setup or the one I sent over to him, the networking end has to work before we worry about how suricata will play into this.<br><br>I'll shut up now I've rambled too much   =) Hopefully something here might help.<br><br>Chris<br><br></div><div class="gmail_extra"><br><div class="gmail_quote">On Sun, Oct 23, 2016 at 5:14 PM, Andreas Herz <span dir="ltr"><<a href="mailto:andi@geekosphere.org" target="_blank">andi@geekosphere.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hi,<br>
<br>
it looks like you tried to mix NFQ IPS mode with afpacket IPS mode.<br>
<br>
When I look in your iptables output from your first mail, it's obvious<br>
that you don't have any packets that go into the FORWARD chain. This<br>
means your network setup itself isn't working as you might want it to<br>
be.<br>
<br>
In your second mail/setup you say you see the ICMP requests working. Can<br>
you be more precise about how the ICMP traffic is going and do you see<br>
the packets within suricata?<br>
<br>
If the ICMP goes through suricata, but all the other protocols are<br>
dropped, do you see any drop messages from the suricata logs?<br>
Did you try to run it without any rules active?<br>
<div class="HOEnZb"><div class="h5"><br>
On 22/10/16 at 15:46, mostafa ammar wrote:<br>
> Dear All,<br>
><br>
> I adjuste sirucata.yaml with the below configuration for eth2 and eth3 and<br>
> using the command<br>
> sudo suricata -c ~/sirucata-3.`/sirucata.yaml --af--packet , ping is<br>
> working but all other protocols are dropped , any one have anidea what can<br>
> be such issue?<br>
> I am having the same issue with snort being inline for traffic , only ping<br>
> is passing and all other types of traffic is dropped.<br>
><br>
>   - interface: eth2<br>
>     threads: 32<br>
>     defrag: yes<br>
>     cluster-type: cluster_flow<br>
>     cluster-id: 98<br>
>     copy-mode: ips<br>
>     copy-iface: eth3<br>
>     buffer-size: 64535<br>
>     use-mmap: yes<br>
>   - interface: eth3<br>
>     threads: 32<br>
>     cluster-id: 97<br>
>     defrag: yes<br>
>     cluster-type: cluster_flow<br>
>     copy-mode: ips<br>
>     copy-iface: eth2<br>
>     buffer-size: 64535<br>
>     use-mmap: yes<br>
><br>
><br>
> On Sat, Oct 22, 2016 at 11:15 AM, mostafa ammar <<a href="mailto:mostafaammar79@gmail.com">mostafaammar79@gmail.com</a>><br>
> wrote:<br>
><br>
> > Dear All,<br>
> ><br>
> > i installed suricata as a vm on xenserver hypervisor to work as inline ips<br>
> > between VM , I added 3 interfaces to VM ,one management and 2 interfaces<br>
> > sensing , one in vlan 9 and another in vlan 10 (interface eth2,eth3)<br>
> ><br>
> > i installed suricata with NFqueue support and when running with<br>
> >  sudo suricata -c /home/ubuntu/suricata-3.1/<wbr>suricata.yaml -q 0<br>
> > it runs successfully<br>
> > I added the following to /etc/network/interface<br>
> ><br>
> > auto eth2<br>
> > iface eth2 inet manual<br>
> >     up ifconfig eth2 0.0.0.0 up<br>
> >     up ip link set eth2 promisc on<br>
> >     post-up ethtool -K eth2 gro off<br>
> >     post-up ethtool -K eth2 lro off<br>
> >     down ip link set eth2 promisc off<br>
> >     down ifconfig eth2 down<br>
> ><br>
> > # Second Bridged Interface<br>
> > auto eth3<br>
> > iface eth3 inet manual<br>
> >     up ifconfig eth3 0.0.0.0 up<br>
> >     up ip link set eth3 promisc on<br>
> >     post-up ethtool -K eth3 gro off<br>
> >     post-up ethtool -K eth3 lro off<br>
> >     down ip link set eth3 promisc off<br>
> >     down ifconfig eth3 down<br>
> ><br>
> > and this is a snapshot of iptables<br>
> > ubuntu@ubuntu-HVM-domU:~$ sudo iptables -vnL<br>
> > Chain INPUT (policy ACCEPT 16525 packets, 15M bytes)<br>
> >  pkts bytes target     prot opt in     out     source<br>
> > destination<br>
> >     0     0 ACCEPT     all  --  eth2   *       <a href="http://0.0.0.0/0" rel="noreferrer" target="_blank">0.0.0.0/0</a><br>
> > <a href="http://0.0.0.0/0" rel="noreferrer" target="_blank">0.0.0.0/0</a><br>
> >     0     0 ACCEPT     all  --  eth3   *       <a href="http://0.0.0.0/0" rel="noreferrer" target="_blank">0.0.0.0/0</a><br>
> > <a href="http://0.0.0.0/0" rel="noreferrer" target="_blank">0.0.0.0/0</a><br>
> >     0     0 ACCEPT     all  --  eth2   *       <a href="http://0.0.0.0/0" rel="noreferrer" target="_blank">0.0.0.0/0</a><br>
> > <a href="http://0.0.0.0/0" rel="noreferrer" target="_blank">0.0.0.0/0</a><br>
> ><br>
> > Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)<br>
> >  pkts bytes target     prot opt in     out     source<br>
> > destination<br>
> >     0     0 NFQUEUE    all  --  eth3   eth2    <a href="http://0.0.0.0/0" rel="noreferrer" target="_blank">0.0.0.0/0</a><br>
> > <a href="http://0.0.0.0/0" rel="noreferrer" target="_blank">0.0.0.0/0</a>            NFQUEUE num 0<br>
> >     0     0 NFQUEUE    all  --  eth2   eth3    <a href="http://0.0.0.0/0" rel="noreferrer" target="_blank">0.0.0.0/0</a><br>
> > <a href="http://0.0.0.0/0" rel="noreferrer" target="_blank">0.0.0.0/0</a>            NFQUEUE num 0<br>
> ><br>
> ><br>
> > now i added 2 VMs one in vlan 9 and another in vlan 10 but ping is not<br>
> > working and i see no packets at eth3 with wireshark<br>
> ><br>
> > any help about that<br>
> ><br>
<br>
</div></div><span class="im HOEnZb">> ______________________________<wbr>_________________<br>
> Suricata IDS Users mailing list: <a href="mailto:oisf-users@openinfosecfoundation.org">oisf-users@<wbr>openinfosecfoundation.org</a><br>
> Site: <a href="http://suricata-ids.org" rel="noreferrer" target="_blank">http://suricata-ids.org</a> | Support: <a href="http://suricata-ids.org/support/" rel="noreferrer" target="_blank">http://suricata-ids.org/<wbr>support/</a><br>
> List: <a href="https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users" rel="noreferrer" target="_blank">https://lists.<wbr>openinfosecfoundation.org/<wbr>mailman/listinfo/oisf-users</a><br>
> Suricata User Conference November 9-11 in Washington, DC: <a href="http://suricon.net" rel="noreferrer" target="_blank">http://suricon.net</a><br>
<br>
<br>
</span><span class="HOEnZb"><font color="#888888">--<br>
Andreas Herz<br>
</font></span><div class="HOEnZb"><div class="h5">______________________________<wbr>_________________<br>
Suricata IDS Users mailing list: <a href="mailto:oisf-users@openinfosecfoundation.org">oisf-users@<wbr>openinfosecfoundation.org</a><br>
Site: <a href="http://suricata-ids.org" rel="noreferrer" target="_blank">http://suricata-ids.org</a> | Support: <a href="http://suricata-ids.org/support/" rel="noreferrer" target="_blank">http://suricata-ids.org/<wbr>support/</a><br>
List: <a href="https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users" rel="noreferrer" target="_blank">https://lists.<wbr>openinfosecfoundation.org/<wbr>mailman/listinfo/oisf-users</a><br>
Suricata User Conference November 9-11 in Washington, DC: <a href="http://suricon.net" rel="noreferrer" target="_blank">http://suricon.net</a></div></div></blockquote></div><br></div>