I want to use suricata in IPS mode and have followed the instructions on the readthedocs site. Suricata is running on a gateway firewall device. I am accessing test exploits on this page: <a href="https://www.wicar.org/test-malware.html">https://www.wicar.org/test-malware.html</a><br>The fast.log file shows alerts indicating the malware was detected, however it is not blocked.<br><br>I have checked suricata --build-info and nfq is included.<br><br>Suricata is started as a service using these arguments<br><br>sudo suricata -D -c /etc/suricata/suricata.yaml -q 0 --pidfile /var/run/suricata.pid<br><br>Iptables -S<br><br>iptables -P INPUT DROP<br>iptables -P FORWARD DROP<br> iptables -P OUTPUT ACCEPT<br>iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT<br>iptables -A FORWARD -i eth0 -o eth1 -j NFQUEUE --queue-num 0<br> iptables -A FORWARD -i eth1 -o eth0 -j NFQUEUE --queue-num 0<br>iptables -A FORWARD -m state --state ESTABLISHED -j ACCEPT<br>iptables -A -i eth1 -o eth0 -j ACCEPT<br><br>Nfq section from suricata.yaml<br><br>nfq:<br>      mode: accept<br>#   repeat_mark: 1 <br>#   repeat_mask: 1 <br>#  bypass-mark: 1<br>#  bypass-mask: 1<br>#  route-queue: 2<br>#  batchcount: 20<br>#  fail-open: yes<br><br>Sent from ProtonMail mobile<br><br><br>