<div> </div>
<div>Question...</div>
<div> </div>
<div>What is the correct way to exclude a subnet from a larger network in a signature?</div>
<div> </div>
<div>var NET1 <a href="http://10.0.0.0/8">10.0.0.0/8</a></div>
<div>var NET2 <a href="http://10.7.0.0/16">10.7.0.0/16</a></div>
<div>var NET3 <a href="http://10.14.0.0/16">10.14.0.0/16</a></div>
<div> </div>
<div>alert tcp [$NET1,!$NET2] ANY -> $NET3 ANY ...blah, blah, blah...</div>
<div> </div>
<div>Is that the right way to watch for something from NET1 but not in NET2 going to NET3??? I've seen sigs that do ![$NET2,$NET3] before but I have never seen one where the ! was in the []. I could not find any examples of using a ! in [] so I'm not sure if this syntax is correct.
</div>
<div> </div>
<div>If it is not correct in a sig then is it correct in a var???</div>
<div> </div>
<div>
<div>var NET1 <a href="http://10.0.0.0/8">10.0.0.0/8</a></div>
<div>var NET2 <a href="http://10.7.0.0/16">10.7.0.0/16</a></div>
<div>var NET3 <a href="http://10.14.0.0/16">10.14.0.0/16</a></div></div>
<div>var NOTNET2 [$NET1,!$NET2]</div>
<div> </div>
<div>then...</div>
<div> </div>
<div>
<div>alert tcp $NOTNET2 ANY -> $NET3 ANY ...blah, blah, blah...</div></div>
<div> </div>
<div> </div>
<div> </div>
<div>Thx,</div>
<div>Wally</div>