Miguel,<div><br></div><div>I'm looking into this and will get it fixed.</div><div><br></div><div>J<br><br><div class="gmail_quote">On Wed, Dec 28, 2011 at 12:24 PM, Miguel Alvarez <span dir="ltr"><<a href="mailto:miguellvrz9@...2420...">miguellvrz9@...2420...</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hi Joel,<br>
<div class="im"><br>
On Wed, Dec 28, 2011 at 4:11 PM, Joel Esler <<a href="mailto:jesler@...202....435...">jesler@...435...</a>> wrote:<br>
> In an effort to better inform the community of changes to the snort.conf<br>
> file, for some time I've been placing the changes on the blog<br>
> (<a href="http://blog.snort.org" target="_blank">http://blog.snort.org</a>), however, when we add something to the snort.conf<br>
> that could potentially break installations that I know of, I'll try and<br>
> remind you on the mailing list as well.  Please read the blog for all the<br>
> current information however.  It will ALWAYS be there.<br>
><br>
> The following changes were made to the snort.conf recently, we suggest you<br>
> use the most current snort.conf from the VRT tarball to upgrade, or use the<br>
> snort.conf configuration download page found here: Snort.conf configuration<br>
> page.<br>
><br>
> Added a variable for GTP_PORTS<br>
><br>
> # List of GTP ports for GTP preprocessor<br>
> portvar GTP_PORTS [2123,2152,3386]<br>
><br>
> Changed the rule path for the IP reputation preprocessor, you should modify<br>
> this in your environment:<br>
><br>
> var WHITE_LIST_PATH /etc/snort/rules<br>
> var BLACK_LIST_PATH /etc/snort/rules<br>
<br>
</div>I noticed that the current 292 snort.conf at<br>
<a href="http://labs.snort.org/snort/2920/snort.conf" target="_blank">http://labs.snort.org/snort/2920/snort.conf</a> doesn't have the<br>
reputation preprocessor stanza.  2.9.1.2<br>
<a href="http://labs.snort.org/snort/2912/snort.conf" target="_blank">http://labs.snort.org/snort/2912/snort.conf</a> has this:<br>
<br>
# Reputation preprocessor. For more information see README.reputation<br>
preprocessor reputation: \<br>
   memcap 500, \<br>
   priority whitelist, \<br>
   nested_ip inner, \<br>
   whitelist $WHITE_LIST_PATH/white_list.rules, \<br>
   blacklist $BLACK_LIST_PATH/black_list.rules<br>
<br>
I know the rule path has changed, but is the rest now obsolete?<br>
<div class="HOEnZb"><div class="h5"><br>
> Added a configure line for the GTP preprocessor (v2.9.2.0), off by default.<br>
><br>
> # config enable_gtp<br>
><br>
> Added some new http_methods to the http inspect preprocessor (v2.9.2.0):<br>
><br>
> http_methods { GET POST PUT SEARCH MKCOL COPY MOVE LOCK UNLOCK NOTIFY POLL<br>
> BCOPY BDELETE BMOVE LINK UNLINK OPTIONS HEAD DELETE TRACE TRACK CONNECT<br>
> SOURCE SUBSCRIBE UNSUBSCRIBE PROPFIND PROPPATCH BPROPFIND BPROPPATCH<br>
> RPC_CONNECT PROXY_SUCCESS BITS_POST CCM_POST SMS_POST RPC_IN_DATA<br>
> RPC_OUT_DATA RPC_ECHO_DATA }<br>
><br>
> Enabled javascript normalization by default in the http inspect<br>
> preprocessor:<br>
><br>
> normalize_javascript<br>
><br>
> Added configurations for the modbus and dnp3 preprocessors:<br>
><br>
> # Modbus preprocessor. For more information see README.modbus<br>
> preprocessor modbus: ports { 502 }<br>
><br>
> # DNP3 preprocessor. For more information see README.dnp3<br>
> preprocessor dnp3: ports { 20000 } \<br>
> memcap 262144 \<br>
> check_crc<br>
><br>
> --<br>
> Joel Esler<br>
> Senior Research Engineer, VRT<br>
> OpenSource Community Manager<br>
> Sourcefire<br>
><br>
</div></div><span class="HOEnZb"><font color="#888888">> --<br>
> To unsubscribe from this group, send email to<br>
> <a href="mailto:snortsigs%2Bunsubscribe@...3575...">snortsigs+unsubscribe@...3575...</a><br>
><br>
><br>
> Please visit <a href="http://blog.snort.org" target="_blank">http://blog.snort.org</a> for the latest news about Snort!<br>
<br>
--<br>
To unsubscribe from this group, send email to<br>
<a href="mailto:snortsigs%2Bunsubscribe@...3575...">snortsigs+unsubscribe@...3575...</a><br>
<br>
<br>
Please visit <a href="http://blog.snort.org" target="_blank">http://blog.snort.org</a> for the latest news about Snort!<br>
</font></span></blockquote></div><br><br clear="all"><div><br></div>-- <br>Joel Esler | <a href="http://blog.snort.org">http://blog.snort.org</a> | <a href="http://vrt-blog.snort.org">http://vrt-blog.snort.org</a> | <br>
<a href="http://blog.clamav.net">http://blog.clamav.net</a><br>Twitter:  <a href="http://twitter.com/snort">http://twitter.com/snort</a><br><br><br>
</div>