<div dir='auto'><div>Hi,<br><div class="gmail_extra"><br><div class="gmail_quote">Le 8 nov. 2017 2:03 PM, erik clark <philosnef@gmail.com> a écrit :<br type="attribution"><blockquote class="quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">Ok, so we found our problem. Turns out that kernel 4.13.4-1.elrepo.x86_64 does not work with Suricata for af_packet fanout. By downgrading to kernel 4.12.8-1.elrepo.x86_64, this worked again</div></blockquote></div></div></div><div dir="auto"><br></div><div dir="auto">Which distribution is that? There was a recent security fix in afpacket. Maybe there is a regression there. It could worth to report it.</div><div dir="auto"><br></div><div dir="auto">BR,</div><div dir="auto"><br></div><div dir="auto"><br></div><div dir="auto"><div class="gmail_extra"><div class="gmail_quote"><blockquote class="quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">. Please advise as to why this kernel does not seem to work. It properly fans out for Bro, so it seems to be something specific to Suri. Thanks!<div><br></div></div><div><br><div class="elided-text">On Tue, Nov 7, 2017 at 12:59 PM, erik clark <span dir="ltr"><<a href="mailto:philosnef@gmail.com">philosnef@gmail.com</a>></span> wrote:<br><blockquote style="margin:0 0 0 0.8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">Soooo, we have this suricata.yaml file we use everywhere. On this new server, we are getting this fun:<div><br></div><div><span style="color:rgb( 84 , 84 , 84 );font-family:'roboto' , 'arial' , sans-serif">- </span><span style="font-weight:bold;color:rgb( 106 , 106 , 106 );font-family:'roboto' , 'arial' , sans-serif">Couldn't init AF_PACKET socket</span><span style="color:rgb( 84 , 84 , 84 );font-family:'roboto' , 'arial' , sans-serif">, </span><span style="font-weight:bold;color:rgb( 106 , 106 , 106 );font-family:'roboto' , 'arial' , sans-serif">fatal error</span><br></div><div><span style="font-weight:bold;color:rgb( 106 , 106 , 106 );font-family:'roboto' , 'arial' , sans-serif"><br></span></div><div><span style="color:rgb( 84 , 84 , 84 );font-family:'roboto' , 'arial' , sans-serif">Coudn't </span><span style="font-weight:bold;color:rgb( 106 , 106 , 106 );font-family:'roboto' , 'arial' , sans-serif">set fanout mode</span><span style="color:rgb( 84 , 84 , 84 );font-family:'roboto' , 'arial' , sans-serif">, </span><span style="font-weight:bold;color:rgb( 106 , 106 , 106 );font-family:'roboto' , 'arial' , sans-serif">error Invalid argument</span><span style="font-weight:bold;color:rgb( 106 , 106 , 106 );font-family:'roboto' , 'arial' , sans-serif"><br></span></div><div><span style="font-weight:bold;color:rgb( 106 , 106 , 106 );font-family:'roboto' , 'arial' , sans-serif"><br></span></div><div>We are running 4.13 kernel, which supports tpacket_v3 and af_packet. Please advise. We can't find anything amiss in our conf. Thanks!<br></div></div>
</blockquote></div><br></div>
</blockquote></div><br></div></div></div>