<html><body><div id="edo-message"><div></div>Once you have pushed all forward/bridged/pass through traffic to NFQ, you have to rely on Suricata rules to block or allow. </div><div id="edo-message"><br></div><div id="edo-message">Alternatively, I(nsert) icmp block rule first in iptables chain and then A(dd) NFQ rule.</div><div id="edo-message"><br></div><div id="edo-message">Hope that helps.</div><div id="edo-message"><br></div><div id="edo-message">Amar Rathore</div><div id="edo-message">www.countersnipe.com</div><div id="edo-meta"></div><div id="edo-original"><div><br><br><blockquote type="cite" style="margin:1ex 0 0 0;border-left:1px #ccc solid;padding-left:0.5ex;"><div>On Dec 11, 2019 at 5:27 PM, <<a href="mailto:manojrk@setsindia.net">Manoj Kumar</a>> wrote:<br><br></div><div><pre>Hello,<br><br>I've been trying to run Suricata in Inline mode using this rule:<br><br>iptables -I forward -j NFQUEUE<br><br>While I've found no problems in getting Suricata to work, I simply <br>couldn't add any further rules in forward chain. As soon as the packets <br>hit nfqueue, it doesn't hit the rules that are added after it.<br><br>For Ex: If I add an icmp drop rule after nfqueue, ping packets are not <br>being blocked.<br><br>Am I doing this right? Any help is appreciated.<br><br>Thanks,<br>Manoj<br><br>_______________________________________________<br>Suricata IDS Users mailing list: oisf-users@openinfosecfoundation.org<br>Site: http://suricata-ids.org | Support: http://suricata-ids.org/support/<br>List: https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users<br><br>Conference: https://suricon.net<br>Trainings: https://suricata-ids.org/training/<br></pre></div></blockquote></div></div></body></html>