Hello Michal,<div><br></div><div>Would you mind elaborating more, please? I am not trying to hijack the thread but more interested in the suggestion. Any pointers are welcome.<span></span></div><div><br></div><div>MP.<br><br>On Wednesday, October 5, 2016, Michał Purzyński &lt;<a href="mailto:michalpurzynski1@gmail.com">michalpurzynski1@gmail.com</a>&gt; wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Also, use a modern kernel and afpacket rather then pfring.<br>
<br>
&gt; On 5 Oct 2016, at 14:25, Seth Hall &lt;<a href="javascript:;" onclick="_e(event, &#39;cvml&#39;, &#39;seth@icir.org&#39;)">seth@icir.org</a>&gt; wrote:<br>
&gt;<br>
&gt;<br>
&gt;&gt; On Sep 30, 2016, at 3:56 AM, John Edwards &lt;<a href="javascript:;" onclick="_e(event, &#39;cvml&#39;, &#39;jedwards2728@gmail.com&#39;)">jedwards2728@gmail.com</a>&gt; wrote:<br>
&gt;&gt;<br>
&gt;&gt; So PF_RING as the front end, then a manager and proxy but each worker defined within the Cluster worker config as the same host but different interfaces.<br>
&gt;&gt;<br>
&gt;&gt; Or should i suggest getting additional hardware and splitting the interfaces? it seems a little silly that one worker can only monitor one interface i thought. thats why i thought id ask here first.<br>
&gt;<br>
&gt; You should be able to do what you&#39;re attempting to do on a single system.  You could configure multiple workers, each sniffing a bridge interface and load balancing.<br>
&gt;<br>
&gt; Probably something like this, but with an appropriate number of processes for your system....<br>
&gt;<br>
&gt; [worker-1]<br>
&gt; host=localhost<br>
&gt; type=worker<br>
&gt; interface=br0<br>
&gt; lb_method=pf_ring<br>
&gt; lb_procs=4<br>
&gt;<br>
&gt; [worker-2]<br>
&gt; host=localhost<br>
&gt; type=worker<br>
&gt; interface=br1<br>
&gt; lb_method=pf_ring<br>
&gt; lb_procs=4<br>
&gt;<br>
&gt; Your logs will be a bit repetitive though since it sounds like you&#39;re monitoring inside and outside of a NATing router.<br>
&gt;<br>
&gt;  .Seth<br>
&gt;<br>
&gt; --<br>
&gt; Seth Hall<br>
&gt; International Computer Science Institute<br>
&gt; (Bro) because everyone has a network<br>
&gt; <a href="http://www.bro.org/" target="_blank">http://www.bro.org/</a><br>
&gt;<br>
&gt;<br>
&gt; ______________________________<wbr>_________________<br>
&gt; Bro mailing list<br>
&gt; <a href="javascript:;" onclick="_e(event, &#39;cvml&#39;, &#39;bro@bro-ids.org&#39;)">bro@bro-ids.org</a><br>
&gt; <a href="http://mailman.ICSI.Berkeley.EDU/mailman/listinfo/bro" target="_blank">http://mailman.ICSI.Berkeley.<wbr>EDU/mailman/listinfo/bro</a><br>
<br>
______________________________<wbr>_________________<br>
Bro mailing list<br>
<a href="javascript:;" onclick="_e(event, &#39;cvml&#39;, &#39;bro@bro-ids.org&#39;)">bro@bro-ids.org</a><br>
<a href="http://mailman.ICSI.Berkeley.EDU/mailman/listinfo/bro" target="_blank">http://mailman.ICSI.Berkeley.<wbr>EDU/mailman/listinfo/bro</a><br>
</blockquote></div>