Snort och OpenBSD
Anders Troback
freebsd at troback.com
Tue Jan 27 10:50:11 CET 2015
Hej!
Jag måste haft något fel i min snort.conf för jag rensade allt och
började om, sedan funkade det...!
Tack för ert stöd!:-)
\\anders
Den Mon, 26 Jan 2015 14:09:52 +0100
skrev Anders Troback <freebsd at troback.com>:
> Ja, det funkar.
>
> Den Mon, 26 Jan 2015 13:50:39 +0100
> skrev Niklas Hallqvist <niklas at appli.se>:
>
> > och tcpdump -i em0 rapporterar paket?
> >
> > On 01/26/15 13:43, Leif Larsson wrote:
> > > em är ju ett ganska populärt nätverkskort, borde funka bra tycker
> > > man.
> > >
> > > Undrar om du var något på spåren med att det saknas ip på kortet.
> > > Ex. vis dhcpd fungerar inte utan adress på kortet den skall lyssna
> > > på.
> > >
> > > Hälsningar,
> > >
> > > /Leif
> > >
> > > On 01/26/2015 01:35 PM, Anders Troback wrote:
> > >> Har normal ingen IP satt på det kortet men provade sätta en och
> > >> använda den till -i:
> > >>
> > >> "BIOCSETIF failed: Device not configured!"
> > >>
> > >> Har provat lite till nu och det verkar inte vara att jag använder
> > >> -i. Jag har två NIC i burken, ett till att sniffa (em0) och ett
> > >> till annat (bge0). Väljer jag bge0 så funkar det (men det är fel
> > >> trafik) men väljer jag em0 så funkar det inte.
> > >>
> > >> /etc/hostname.em0:
> > >> up
> > >>
> > >> ifconfig em0:
> > >> flags=28b43<UP,BROADCAST,RUNNING,PROMISC,ALLMULTI,SIMPLEX,MULTICAST,NOINET6>
> > >> mtu 1500 lladdr 00:0e:0c:c2:c7:6b
> > >> priority: 0
> > >> media: Ethernet autoselect (100baseTX
> > >> full-duplex,rxpause,txpause)
> > >> status: active
> > >>
> > >>
> > >>
> > >>
> > >>
> > >>
> > >> Den Mon, 26 Jan 2015 12:12:48 +0100
> > >> skrev Leif Larsson <leif.larsson at l3system.se>:
> > >>
> > >>> Har märkt att vissa program förväntar sig en ip adress istället
> > >>> för ett interface namn.
> > >>> Har du provat med -i x.x.x.x ?
> > >>>
> > >>> Hälsningar,
> > >>>
> > >>> /Leif
> > >>>
> > >>> On 01/26/2015 11:02 AM, Anders Troback wrote:
> > >>>> Hej!
> > >>>>
> > >>>> Jag försöker köra Snort på en OpenBSD 5.6 burk men har lite
> > >>>> problem.
> > >>>>
> > >>>> Om jag startar Snort utan att ange NIC (med -i) så väljer Snort
> > >>>> ett NIC och börjar sniffa trafiken. Om jag startar med -i så
> > >>>> sniffar den inte alls. Problemet med att inte ange med -i är
> > >>>> att det blir fel NIC.
> > >>>>
> > >>>> Jag har provat både med versionen i ports och att kompilera den
> > >>>> senaste versionen på Snorts hemsida. Jag har även provat att
> > >>>> byta NIC så att det som jag vill sniffa på blev det som jag
> > >>>> inte vill sniffa på och tvärt om. Kör jag tcpdump så ser jag
> > >>>> trafik.
> > >>>>
> > >>>> Någon som har någon ide?
> > >>>>
> > >>>>
> > >>>> \\anders
> > >>>> _________________________________________________
> > >>>> BSD Users Sweden -- BUS at stacken.kth.se
> > >>>> https://lists.stacken.kth.se/mailman/listinfo/bus
> > >>>>
> > >>> _________________________________________________
> > >>> BSD Users Sweden -- BUS at stacken.kth.se
> > >>> https://lists.stacken.kth.se/mailman/listinfo/bus
> > >> _________________________________________________
> > >> BSD Users Sweden -- BUS at stacken.kth.se
> > >> https://lists.stacken.kth.se/mailman/listinfo/bus
> > >>
> > > _________________________________________________
> > > BSD Users Sweden -- BUS at stacken.kth.se
> > > https://lists.stacken.kth.se/mailman/listinfo/bus
> > >
> >
> >
> _________________________________________________
> BSD Users Sweden -- BUS at stacken.kth.se
> https://lists.stacken.kth.se/mailman/listinfo/bus
More information about the BUS
mailing list