<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML><HEAD>
<META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=us-ascii">
<TITLE>Message</TITLE>

<META content="MSHTML 6.00.2723.2500" name=GENERATOR></HEAD>
<BODY>
<DIV><FONT face=Tahoma size=2><SPAN class=440244020-20032003>Has 
anyone confirmed that the "preprocessor portscan2-ignoreports: s1 s2 d1 d2" 
variable works?  </SPAN></FONT></DIV>
<DIV><FONT face=Tahoma size=2><SPAN 
class=440244020-20032003></SPAN></FONT> </DIV>
<DIV><FONT face=Tahoma size=2><SPAN class=440244020-20032003>I'm running snort v 
1.9.1, and varified that the feature is in the spp_portscan2.c 
source.</SPAN></FONT></DIV>
<DIV><FONT face=Tahoma size=2><SPAN 
class=440244020-20032003></SPAN></FONT> </DIV>
<DIV><SPAN class=440244020-20032003><FONT face=Tahoma size=2>No matter how I 
specify the variable in the snort.conf file I can't get portscan2 to filter on 
the source or destination ports.  Tried several different variations and 
none seem to have an affect (see examples below).  BTW...the 
portscan2-ignorehosts variable does work in filtering on the source 
address.</FONT></SPAN></DIV>
<DIV><SPAN class=440244020-20032003><FONT face=Tahoma 
size=2></FONT></SPAN> </DIV>
<DIV><SPAN class=440244020-20032003><FONT face=Tahoma size=2>If it does 
work...what is the trick?</FONT></SPAN></DIV>
<DIV><SPAN class=440244020-20032003><FONT face=Tahoma 
size=2></FONT></SPAN> </DIV>
<DIV><SPAN class=440244020-20032003><FONT face=Tahoma size=2>======== examples 
===============</FONT></SPAN></DIV>
<DIV><SPAN class=440244020-20032003><FONT face=Tahoma 
size=2></FONT></SPAN> </DIV>
<DIV><SPAN class=440244020-20032003><FONT face=Tahoma size=2>Preferred 
configuration:</FONT></SPAN></DIV>
<DIV><SPAN class=440244020-20032003><FONT face=Tahoma 
size=2></FONT></SPAN> </DIV>
<DIV><FONT face=Tahoma size=2>preprocessor portscan2-ignorehosts: 
$HOME_NET<BR>preprocessor portscan2-ignoreports: s53 s80 s443 d53 d80 
d443<BR>preprocessor portscan2: scanners_max 3200, targets_max 5000, 
target_limit 5, port_limit 20, timeout 60</FONT></DIV>
<DIV><FONT face=Tahoma size=2></FONT> </DIV>
<DIV><SPAN class=440244020-20032003><FONT face=Tahoma size=2>Alternate 
variations used during troubleshooting....</FONT></SPAN></DIV>
<DIV><SPAN class=440244020-20032003><FONT face=Tahoma 
size=2></FONT></SPAN> </DIV>
<DIV><SPAN class=440244020-20032003><FONT face=Tahoma size=2>Removed ignorehosts 
and filter just on source/destination port...doesn't work:</FONT></SPAN></DIV>
<DIV><SPAN class=440244020-20032003><FONT face=Tahoma 
size=2></FONT></SPAN> </DIV>
<DIV><SPAN class=440244020-20032003>
<DIV><FONT face=Tahoma><FONT size=2><SPAN 
class=440244020-20032003>#</SPAN>preprocessor portscan2-ignorehosts: 
$HOME_NET<BR>preprocessor portscan2-ignoreports: s53 s80 s443 d53 d80 
d443<BR>preprocessor portscan2: scanners_max 3200, targets_max 5000, 
target_limit 5, port_limit 20, timeout 60</FONT></FONT></DIV>
<DIV><FONT face=Tahoma size=2></FONT> </DIV>
<DIV><FONT face=Tahoma size=2><SPAN class=440244020-20032003>Reduce to one 
source port...doesn't work:</SPAN></FONT></DIV>
<DIV><FONT face=Tahoma size=2><SPAN 
class=440244020-20032003></SPAN></FONT> </DIV>
<DIV>
<DIV><FONT face=Tahoma size=2>preprocessor portscan2-ignorehosts: 
$HOME_NET<BR>preprocessor portscan2-ignoreports: s80<BR>preprocessor portscan2: 
scanners_max 3200, targets_max 5000, target_limit 5, port_limit 20, timeout 
60</FONT></DIV>
<DIV><FONT face=Tahoma size=2></FONT> </DIV>
<DIV><FONT face=Tahoma size=2><SPAN class=440244020-20032003>Change 
position...doesn't work:</SPAN></FONT></DIV>
<DIV><FONT face=Tahoma size=2></FONT> </DIV>
<DIV>
<DIV><FONT face=Tahoma size=2>preprocessor portscan2-ignorehosts: 
$HOME_NET<BR>preprocessor portscan2: scanners_max 3200, targets_max 5000, 
target_limit 5, port_limit 20, timeout 60</FONT></DIV>
<DIV><FONT face=Tahoma size=2>preprocessor portscan2-ignoreports: s53 s80 s443 
d53 d80 d443<BR></FONT></DIV></DIV></DIV></SPAN></DIV>
<DIV><SPAN style="FONT-SIZE: 10pt; FONT-FAMILY: Tahoma">Jeff 
Oliveto</SPAN></DIV></BODY></HTML>