Snort och OpenBSD
Leif Larsson
leif.larsson at l3system.se
Tue Jan 27 11:00:37 CET 2015
Alltid lika skönt att krypa till korset :-)
Hälsningar,
/Leif
On 01/27/2015 10:50 AM, Anders Troback wrote:
> Hej!
>
> Jag måste haft något fel i min snort.conf för jag rensade allt och
> började om, sedan funkade det...!
>
> Tack för ert stöd!:-)
>
>
> \\anders
>
> Den Mon, 26 Jan 2015 14:09:52 +0100
> skrev Anders Troback <freebsd at troback.com>:
>
>> Ja, det funkar.
>>
>> Den Mon, 26 Jan 2015 13:50:39 +0100
>> skrev Niklas Hallqvist <niklas at appli.se>:
>>
>>> och tcpdump -i em0 rapporterar paket?
>>>
>>> On 01/26/15 13:43, Leif Larsson wrote:
>>>> em är ju ett ganska populärt nätverkskort, borde funka bra tycker
>>>> man.
>>>>
>>>> Undrar om du var något på spåren med att det saknas ip på kortet.
>>>> Ex. vis dhcpd fungerar inte utan adress på kortet den skall lyssna
>>>> på.
>>>>
>>>> Hälsningar,
>>>>
>>>> /Leif
>>>>
>>>> On 01/26/2015 01:35 PM, Anders Troback wrote:
>>>>> Har normal ingen IP satt på det kortet men provade sätta en och
>>>>> använda den till -i:
>>>>>
>>>>> "BIOCSETIF failed: Device not configured!"
>>>>>
>>>>> Har provat lite till nu och det verkar inte vara att jag använder
>>>>> -i. Jag har två NIC i burken, ett till att sniffa (em0) och ett
>>>>> till annat (bge0). Väljer jag bge0 så funkar det (men det är fel
>>>>> trafik) men väljer jag em0 så funkar det inte.
>>>>>
>>>>> /etc/hostname.em0:
>>>>> up
>>>>>
>>>>> ifconfig em0:
>>>>> flags=28b43<UP,BROADCAST,RUNNING,PROMISC,ALLMULTI,SIMPLEX,MULTICAST,NOINET6>
>>>>> mtu 1500 lladdr 00:0e:0c:c2:c7:6b
>>>>> priority: 0
>>>>> media: Ethernet autoselect (100baseTX
>>>>> full-duplex,rxpause,txpause)
>>>>> status: active
>>>>>
>>>>>
>>>>>
>>>>>
>>>>>
>>>>>
>>>>> Den Mon, 26 Jan 2015 12:12:48 +0100
>>>>> skrev Leif Larsson <leif.larsson at l3system.se>:
>>>>>
>>>>>> Har märkt att vissa program förväntar sig en ip adress istället
>>>>>> för ett interface namn.
>>>>>> Har du provat med -i x.x.x.x ?
>>>>>>
>>>>>> Hälsningar,
>>>>>>
>>>>>> /Leif
>>>>>>
>>>>>> On 01/26/2015 11:02 AM, Anders Troback wrote:
>>>>>>> Hej!
>>>>>>>
>>>>>>> Jag försöker köra Snort på en OpenBSD 5.6 burk men har lite
>>>>>>> problem.
>>>>>>>
>>>>>>> Om jag startar Snort utan att ange NIC (med -i) så väljer Snort
>>>>>>> ett NIC och börjar sniffa trafiken. Om jag startar med -i så
>>>>>>> sniffar den inte alls. Problemet med att inte ange med -i är
>>>>>>> att det blir fel NIC.
>>>>>>>
>>>>>>> Jag har provat både med versionen i ports och att kompilera den
>>>>>>> senaste versionen på Snorts hemsida. Jag har även provat att
>>>>>>> byta NIC så att det som jag vill sniffa på blev det som jag
>>>>>>> inte vill sniffa på och tvärt om. Kör jag tcpdump så ser jag
>>>>>>> trafik.
>>>>>>>
>>>>>>> Någon som har någon ide?
>>>>>>>
>>>>>>>
>>>>>>> \\anders
>>>>>>> _________________________________________________
>>>>>>> BSD Users Sweden -- BUS at stacken.kth.se
>>>>>>> https://lists.stacken.kth.se/mailman/listinfo/bus
>>>>>>>
>>>>>> _________________________________________________
>>>>>> BSD Users Sweden -- BUS at stacken.kth.se
>>>>>> https://lists.stacken.kth.se/mailman/listinfo/bus
>>>>> _________________________________________________
>>>>> BSD Users Sweden -- BUS at stacken.kth.se
>>>>> https://lists.stacken.kth.se/mailman/listinfo/bus
>>>>>
>>>> _________________________________________________
>>>> BSD Users Sweden -- BUS at stacken.kth.se
>>>> https://lists.stacken.kth.se/mailman/listinfo/bus
>>>>
>>>
>>>
>> _________________________________________________
>> BSD Users Sweden -- BUS at stacken.kth.se
>> https://lists.stacken.kth.se/mailman/listinfo/bus
> _________________________________________________
> BSD Users Sweden -- BUS at stacken.kth.se
> https://lists.stacken.kth.se/mailman/listinfo/bus
>
More information about the BUS
mailing list