
Yes, there is something wrong, i have tried the same thing that u just do now before, and get into the same error.<br><br>The patch for 2.8.5 in the snortsam site, is not really for 2.8.5, but for 2.8.4.1 like u see in the header of the file:<br>

<br><pre>diff -ruN snort-2.8.4.1.orig/autojunk.sh snort-2.8.4.1/autojunk.sh<br>--- snort-2.8.4.1.orig/autojunk.sh        1970-01-01 03:30:00.000000000 +0330<br>+++ snort-2.8.4.1/autojunk.sh        2009-06-23 16:40:44.000000000 +0430<br>

</pre><br>Is just the same 2.8.4.1 patch. I think the snortsam team has not release the 2.8.5 patch yet.<br><br><br><div class="gmail_quote">On Thu, Oct 8, 2009 at 5:52 AM, Wouter de Jong <span dir="ltr">&lt;<a href="mailto:maddog2k@maddog2k.net">maddog2k@maddog2k.net</a>&gt;</span> wrote:<br>

<blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">Hi Rob,<br>

<br>

This is exactly what I did...<br>

That&#39;s why I posted the &#39;strings /usr/sbin/snort | grep -i fwsam&#39; output as<br>

&#39;proof&#39;,<br>

cause I knew I&#39;d get a reaction like yours, but apparently it was still not<br>

clear :))<br>

<br>

In the mean time, I&#39;ve downgraded to Snort 2.8.4.1,<br>

build it in exact the same way as 2.8.5 but with the 2.8.4.1 snortsam-patch<br>

and that works ok.<br>

<br>

So there seems to be something wrong with the patch for 2.8.5 ...<br>

<br>

Best regards,<br>

<font color="#888888"><br>

Wouter<br>

</font><div class="im"><br>

<br>

-----Original Message-----<br>

From: <a href="mailto:snortsam-discussion-bounces@snortsam.net">snortsam-discussion-bounces@snortsam.net</a><br>

[mailto:<a href="mailto:snortsam-discussion-bounces@snortsam.net">snortsam-discussion-bounces@snortsam.net</a>] On Behalf Of Rob Sly<br>

Sent: Wednesday, October 07, 2009 17:47<br>

To: <a href="mailto:snortsam-discussion@snortsam.net">snortsam-discussion@snortsam.net</a><br>

</div><div><div></div><div class="h5">Subject: Re: [Snortsam-discussion] Snort 2.8.5 + Snortsam : Unknown rule<br>

option:&#39;fwsam&#39;.<br>

<br>

You need to download the patch file from<br>

<a href="http://www.snortsam.net/download.html" target="_blank">http://www.snortsam.net/download.html</a> for the specific version of snort that<br>

<br>

you are using, and patch the sourcecode for snort, to add in snortsam.  Then<br>

<br>

you need to configure and compile, and you should be able to get it working.<br>

<br>

Post back on your success or if you need further help.<br>

<br>

--------------------------------------------------<br>

From: &quot;Wouter de Jong&quot; &lt;<a href="mailto:maddog2k@maddog2k.net">maddog2k@maddog2k.net</a>&gt;<br>

Sent: Wednesday, October 07, 2009 9:26 AM<br>

To: &lt;<a href="mailto:snortsam-discussion@snortsam.net">snortsam-discussion@snortsam.net</a>&gt;<br>

Subject: [Snortsam-discussion] Snort 2.8.5 + Snortsam : Unknown rule<br>

option:&#39;fwsam&#39;.<br>

<br>

&gt; Hi,<br>

&gt;<br>

&gt; I can&#39;t get Snort 2.8.5 (patched with the Snortsam patch) to work ...<br>

&gt; As soon as I want to load a test-rule like this :<br>

&gt;<br>

&gt; alert icmp any any -&gt; $HOME_NET any (msg:&quot;ICMP test&quot;; dsize:&gt;1400;<br>

&gt; sid:1000001; fwsam: src, 20 minutes;)<br>

&gt;<br>

&gt; I get the following :<br>

&gt;<br>

&gt; +++++++++++++++++++++++++++++++++++++++++++++++++++<br>

&gt; Initializing rule chains...<br>

&gt; ERROR: /etc/snort/rules/local.rules(7) Unknown rule option: &#39;fwsam&#39;.<br>

&gt; Fatal Error, Quitting..<br>

&gt;<br>

&gt; Snort does have Snortsam compiled in, because a &#39;string /usr/sbin/snort |<br>

&gt; grep -i fwsam&#39; reveals lines like :<br>

&gt;<br>

&gt; ERROR =&gt; [Alert_FWsam](FWsamCheckOut) Funky socket error (socket)!<br>

&gt; ERROR =&gt; [Alert_FWsam](FWsamCheckOut) Could not bind socket!<br>

&gt; INFO =&gt; [Alert_FWsam](FWsamCheckOut) Disconnecting from host %s.<br>

&gt; INFO =&gt; [Alert_FWsam](FWsamCheckOut) Had to use initial key!<br>

&gt;<br>

&gt; etc, etc.<br>

&gt;<br>

&gt; Am I missing something here ?<br>

&gt;<br>

&gt; Best regards,<br>

&gt;<br>

&gt; Wouter de Jong<br>

&gt;<br>

&gt; _______________________________________________<br>

&gt; Snortsam-discussion mailing list<br>

&gt; <a href="mailto:Snortsam-discussion@snortsam.net">Snortsam-discussion@snortsam.net</a><br>

&gt; <a href="http://lists.snortsam.net/mailman/listinfo/snortsam-discussion" target="_blank">http://lists.snortsam.net/mailman/listinfo/snortsam-discussion</a><br>

&gt;<br>

_______________________________________________<br>

Snortsam-discussion mailing list<br>

<a href="mailto:Snortsam-discussion@snortsam.net">Snortsam-discussion@snortsam.net</a><br>

<a href="http://lists.snortsam.net/mailman/listinfo/snortsam-discussion" target="_blank">http://lists.snortsam.net/mailman/listinfo/snortsam-discussion</a><br>

<br>

_______________________________________________<br>

Snortsam-discussion mailing list<br>

<a href="mailto:Snortsam-discussion@snortsam.net">Snortsam-discussion@snortsam.net</a><br>

<a href="http://lists.snortsam.net/mailman/listinfo/snortsam-discussion" target="_blank">http://lists.snortsam.net/mailman/listinfo/snortsam-discussion</a><br>

</div></div></blockquote></div><br><br clear="all"><br>