Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 12 replies
  • Subscribers 3 subscribers
  • Views 2597 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Snort on Astaro 3.2

Haplo Patryn
Maybe someone can give me a quick sanity check :-)

I have Snort 1.9.0 running on my Astaro box, and it works great except for the "Too much memory for 1 process" errors that it posts (Then mails me).

I like the alerts when a process has grown too large, but I want to have it skip the snort process.  I could probably dig through and make the modifications, but I wanted to post here first to see if anyone has done this.  Any good ways to remove the one process from the Memory checks?

Haplo


This thread was automatically locked due to age.
Parents
  • 0
    Put a hub between the DSL modem and the firewall (unless you have a switch that will span ports).  The hub will forward all packets to all ports.  If you make a one-way cable that will only receive packets for your IDS sensor, your Snort box will be completely invisible.   
Reply
  • 0
    Put a hub between the DSL modem and the firewall (unless you have a switch that will span ports).  The hub will forward all packets to all ports.  If you make a one-way cable that will only receive packets for your IDS sensor, your Snort box will be completely invisible.   
Children
  • 0 in reply to noexploit
    It would be great if someone could write a HOWTO to set up Snort on a separate box that would work together with Astaro. Maybe someone wrote it already? Anyone know?  
  • 0 in reply to ezekiel
    I'm no longer using snort as just an IDS. I had the configuration 6square9 suggests before. I then built snort into the ASL box and had it monitor the external interface. No problems on a PII-400. It reported hits to an internal MySQL DB and I used ACID to monitor it.
    Now I'm using snort in "inline" mode. I use IPTABLES 1.2.7a to QUE traffic for passing or blocking. I needs to stand inline with ASL not just monitor the traffic on the line.