<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML><HEAD>
<META http-equiv=Content-Type content="text/html; charset=iso-8859-1">
<META content="MSHTML 6.00.2726.2500" name=GENERATOR>
<STYLE></STYLE>
</HEAD>
<BODY bgColor=#ffffff>
<DIV><FONT face=Arial size=2>Hi, I just set up SNORT on my network, i have it 
logging to a MySQL database, and i got ACID so that i can view the alerts 
easily. One problem i am having is that it logs traffic from my network, which i 
dont want. How can i turn this off? Acid has like 500+ alerts already from one 
of my windows boxes saying this..</FONT></DIV>
<DIV><FONT face=Arial size=2></FONT> </DIV>
<DIV><!--StartFragment --> <TD valign="top" align="left"><FONT 
size=+0>  <FONT size=-1>[<A 
href="http://www.snort.org/snort-db/sid.html?sid=1917" 
target=_ACID_ALERT_DESC>snort</A>]</FONT> SCAN UPNP service discover attempt 
  </FONT> </TD><TD valign="top" align="center"><FONT 
size=+0>   2003-08-31 19:27:15   </FONT> </TD><TD 
valign="top" align="center"><FONT size=+0>   <A 
href="http://192.168.0.1/acid/acid_stat_ipaddr.php?ip=192.168.0.91&netmask=32">192.168.0.91</A><FONT 
size=-1>:1040</FONT>   </FONT> </TD><TD valign="top" 
align="center"><FONT size=+0>   <A 
href="http://192.168.0.1/acid/acid_stat_ipaddr.php?ip=192.168.0.1&netmask32">192.168.0.1</A><FONT 
size=-1>:1900</FONT>   </FONT> </TD><TD valign="top" 
align="center"><FONT size=+0>   <FONT 
size=+0>UDP</FONT>   </FONT></TD> </DIV>
<DIV> </DIV>
<DIV><FONT face=Arial size=2>And their all the same from the same ip, and same 
type of sig.</FONT></DIV>
<DIV><FONT face=Arial size=2></FONT> </DIV>
<DIV><FONT face=Arial size=2>Another thing is, i dont think its been properly 
setup or something, because its not logging much.. Its been running for the past 
4 days, I've been connected all the time, and it only logged the local traffic, 
and some ICMP traffic. I got 0% TCP, 93% UDP, and 7% ICMP. Theres only like 30 
ICMP alerts, and they seem pretty harmless. I am expecting alot more alerts to 
come in, since im always-on.</FONT></DIV>
<DIV><FONT face=Arial size=2></FONT> </DIV>
<DIV><FONT face=Arial size=2>Heres a snippet form my snort.conf</FONT></DIV>
<DIV><FONT face=Arial size=2></FONT> </DIV>
<DIV><FONT face=Arial size=2>var HOME_NET 192.168.0.0/24<BR></FONT></DIV>
<DIV><FONT face=Arial size=2>var EXTERNAL_NET !$HOME_NET</FONT></DIV>
<DIV><FONT face=Arial size=2></FONT> </DIV>
<DIV><FONT face=Arial size=2>[...] Everything else was untouched except this 
output string for SQL</FONT></DIV>
<DIV><FONT face=Arial size=2></FONT> </DIV>
<DIV><FONT face=Arial size=2>output database: log, mysql, user=root 
password=**** dbname=snort host=localhost</FONT></DIV>
<DIV><FONT face=Arial size=2></FONT> </DIV>
<DIV><FONT face=Arial size=2>I also am runnign IPFW, this is a FreeBSD machine. 
heres the rules i use..</FONT></DIV>
<DIV><FONT face=Arial size=2></FONT> </DIV>
<DIV><FONT face=Arial 
size=2>         $fwcmd add divert 
natd all from any to any via 
tun0<BR>         $fwcmd add allow 
ip from any to any via 
lo0<BR>         $fwcmd add allow ip 
from any to any via dc0<BR>         
$fwcmd add allow tcp from any to any out xmit tun0 
setup<BR>         $fwcmd add allow 
tcp from any to any via tun0 
established<BR>         $fwcmd add 
reset log tcp from any to any 113 in recv 
tun0<BR>         $fwcmd add deny 
log ip tcp from any to any 80 setup<BR>    
     $fwcmd add deny log ip tcp from any to any 22 
setup        <BR>    
     $fwcmd add allow tcp from 192.168.0.0/24 to 192.168.0.1 
80 setup<BR>        $fwcmd add allow tcp from 
192.168.0.0/24 to 192.168.0.1 22 setup<BR>        
$fwcmd add allow udp from any to 205.152.144.235 53 out xmit 
tun0<BR>        $fwcmd add allow udp from 
205.152.144.235 53 to any in recv tun0<BR>        
$fwcmd add 65435 allow icmp from any to any<BR>    
    $fwcmd add 65435 deny log ip from any to any</FONT></DIV>
<DIV><FONT face=Arial size=2></FONT> </DIV>
<DIV><FONT face=Arial size=2>dc0 is my NIC, and tun0 is my external interface. 
These rules are set so that ports 22 and 80 are denied to the outside, but are 
allowed to the inside. And it allows local hosts to query the DNS and to receive 
replies, and it denies everything else and logs it. When i check the ipfw logs, 
i get tons of deny's for port 135 and 137 etc.. blaster traffic. But ACID doesnt 
show anything like that. Even if my snort doesnt have a rule set for the RPC 
exploit, then it should still show some of the other kiddie 
traffic.</FONT></DIV>
<DIV><FONT face=Arial size=2></FONT> </DIV>
<DIV><FONT face=Arial size=2>If you know what i am doing wrong let me know 
please! Thanks!</FONT></DIV>
<DIV><FONT face=Arial size=2></FONT> </DIV>
<DIV><FONT face=Arial size=2>-delusion</FONT></DIV></BODY></HTML>