
<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:x="urn:schemas-microsoft-com:office:excel" xmlns:dt="uuid:C2F41010-65B3-11d1-A29F-00AA00C14882" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">


<head>


<meta http-equiv="Content-Type" content="text/html; charset=utf-8">


<meta name="Generator" content="Microsoft Word 15 (filtered medium)">


<style><!--


/* Font Definitions */


@font-face


        {font-family:"Cambria Math";


        panose-1:2 4 5 3 5 4 6 3 2 4;}


@font-face


        {font-family:Calibri;


        panose-1:2 15 5 2 2 2 4 3 2 4;}


/* Style Definitions */


p.MsoNormal, li.MsoNormal, div.MsoNormal


        {margin:0in;


        margin-bottom:.0001pt;


        font-size:11.0pt;


        font-family:"Calibri",sans-serif;}


a:link, span.MsoHyperlink


        {mso-style-priority:99;


        color:blue;


        text-decoration:underline;}


a:visited, span.MsoHyperlinkFollowed


        {mso-style-priority:99;


        color:purple;


        text-decoration:underline;}


p.msonormal0, li.msonormal0, div.msonormal0


        {mso-style-name:msonormal;


        mso-margin-top-alt:auto;


        margin-right:0in;


        mso-margin-bottom-alt:auto;


        margin-left:0in;


        font-size:11.0pt;


        font-family:"Calibri",sans-serif;}


span.EmailStyle18


        {mso-style-type:personal-reply;


        font-family:"Calibri",sans-serif;


        color:windowtext;}


.MsoChpDefault


        {mso-style-type:export-only;


        font-family:"Calibri",sans-serif;}


@page WordSection1


        {size:8.5in 11.0in;


        margin:1.0in 1.0in 1.0in 1.0in;}


div.WordSection1


        {page:WordSection1;}


--></style><!--[if gte mso 9]><xml>


<o:shapedefaults v:ext="edit" spidmax="1026" />


</xml><![endif]--><!--[if gte mso 9]><xml>


<o:shapelayout v:ext="edit">


<o:idmap v:ext="edit" data="1" />


</o:shapelayout></xml><![endif]-->


</head>


<body lang="EN-US" link="blue" vlink="purple">


<div class="WordSection1">


<p class="MsoNormal">I’m working through some similar issues  questions as well.  On my test network I want the traffic flow like this:<o:p></o:p></p>


<p class="MsoNormal"><o:p> </o:p></p>


<p class="MsoNormal">Internet router -> TAP -> Suricata eth0 -> Suricata eth1 -> QRadar monitor port.<o:p></o:p></p>


<p class="MsoNormal"><o:p> </o:p></p>


<p class="MsoNormal">I only want the traffic to flow in that one direction.  Do I need to include an af-packet entry for both eth0 and eth1 and have each point to the other as a copy interface or will all the traffic egress from eth1 without that if I use the


 single af-packet entry Victor has below? <o:p></o:p></p>


<p class="MsoNormal"><o:p> </o:p></p>


<p class="MsoNormal">In that scenario – do I want it to run in IPS or tap mode?  I’d like to avoid the need to configure NFQueue or IPTABLES.  Some posts I’ve read including the Eric’s which is frequently referenced seem to indicate that tap mode will setup


 a transparent bridge between the two interfaces and no kernel level bridge nor iptables changes were needed.  <o:p></o:p></p>


<p class="MsoNormal"><o:p> </o:p></p>


<p class="MsoNormal">Last question - do you need to specifically add ‘tpacket-v3: no’ if using mmap or run into latency issues noted in the Suricata.yaml?<o:p></o:p></p>


<p class="MsoNormal"><o:p> </o:p></p>


<p class="MsoNormal">Thanks,<o:p></o:p></p>


<p class="MsoNormal"><o:p> </o:p></p>


<p class="MsoNormal">Sean<o:p></o:p></p>


<p class="MsoNormal"><o:p> </o:p></p>


<p class="MsoNormal"><b>From:</b> Oisf-users <oisf-users-bounces@lists.openinfosecfoundation.org>


<b>On Behalf Of </b>kavi perumal<br>


<b>Sent:</b> Thursday, November 8, 2018 6:12 AM<br>


<b>To:</b> lists@inliniac.net<br>


<b>Cc:</b> oisf-users@lists.openinfosecfoundation.org<br>


<b>Subject:</b> Re: [Oisf-users] Reg: [oisf-users] Can i use a bridge and ethernet interface as two different interfaces in af-packet IPS?<o:p></o:p></p>


<p class="MsoNormal"><o:p> </o:p></p>


<div>


<p class="MsoNormal">Hi Victor Julien,<o:p></o:p></p>


<div>


<p class="MsoNormal"><o:p> </o:p></p>


</div>


<div>


<p class="MsoNormal">I am able to run suricata in af-packet tap mode, between two physical interfaces say eth0 and eth1 where there is no linux bridge involved (basic inline mode).<o:p></o:p></p>


</div>


<div>


<p class="MsoNormal"><o:p> </o:p></p>


</div>


<div>


<p class="MsoNormal"><span style="color:#500050"> suricata.yaml:<br>


  - interface: eth0</span><o:p></o:p></p>


</div>


<div>


<p class="MsoNormal"><span style="color:#500050">     threads: 1<br>


     defrag: ye<br>


     cluster-id: 98<br>


     copy-mode: ips<br>


     copy-iface: eth1<br>


     use-mmap: yes</span><o:p></o:p></p>


</div>


<div>


<p class="MsoNormal"><o:p> </o:p></p>


</div>


<div>


<p class="MsoNormal">Regards<o:p></o:p></p>


</div>


<div>


<p class="MsoNormal">-Kavi Perumal G.<o:p></o:p></p>


</div>


</div>


<p class="MsoNormal"><o:p> </o:p></p>


<div>


<div>


<p class="MsoNormal">On Thu, Nov 8, 2018 at 4:37 PM Victor Julien <<a href="mailto:lists@inliniac.net">lists@inliniac.net</a>> wrote:<o:p></o:p></p>


</div>


<blockquote style="border:none;border-left:solid #CCCCCC 1.0pt;padding:0in 0in 0in 6.0pt;margin-left:4.8pt;margin-right:0in">


<p class="MsoNormal">On 08-11-18 10:35, kavi perumal wrote:<br>


> A very basic clarification w.r.t suricata IDS/IPS af-packet mode.<br>


> i want to run suricata in IPS --af-packet mode, but would like to use a<br>


> physical interface (eth0) and a bridge(br0) as a pair, where as eth0 is<br>


> not part of the bridge (br0).<br>


> <br>


> suricata.yaml:<br>


>  - interface: eth0<br>


>     threads: 1<br>


>     defrag: yes<br>


>     cluster-id: 98<br>


>     copy-mode: ips<br>


>     copy-iface: br0<br>


>     use-mmap: yes<br>


> <br>


<br>


I wonder if the problem is that you're creating a Suricata bridge that<br>


includes a kernel level bridge. Are you able to get it working w/o using<br>


a br0 but instead a real interface?<br>


<br>


-- <br>


---------------------------------------------<br>


Victor Julien<br>


<a href="http://www.inliniac.net/" target="_blank">http://www.inliniac.net/</a><br>


PGP: <a href="http://www.inliniac.net/victorjulien.asc" target="_blank">http://www.inliniac.net/victorjulien.asc</a><br>


---------------------------------------------<br>


<br>


_______________________________________________<br>


Suricata IDS Users mailing list: <a href="mailto:oisf-users@openinfosecfoundation.org" target="_blank">


oisf-users@openinfosecfoundation.org</a><br>


Site: <a href="http://suricata-ids.org" target="_blank">http://suricata-ids.org</a> | Support:


<a href="http://suricata-ids.org/support/" target="_blank">http://suricata-ids.org/support/</a><br>


List: <a href="https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users" target="_blank">


https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users</a><br>


<br>


Conference: <a href="https://suricon.net" target="_blank">https://suricon.net</a><br>


Trainings: <a href="https://suricata-ids.org/training/" target="_blank">https://suricata-ids.org/training/</a><o:p></o:p></p>


</blockquote>


</div>


</div>


</body>


</html>