<html><head></head><body bgcolor="#FFFFFF"><div>Whitelisting (at this time) means "don't blacklist". So it's not an ignore per say. This changes in 2.9.3. <br><br>-- <div>Joel Esler</div></div><div><br>On May 19, 2012, at 7:30 AM, evejou <<a href="mailto:girl@...3471...">girl@...3683...1...</a>> wrote:<br><br></div><div></div><blockquote type="cite"><div>Hi Tyler,<div><br></div><div>I think what you're looking for is how to whitelist IPs:</div><div><a href="http://manual.snort.org/node17.html#SECTION003219000000000000000">http://manual.snort.org/node17.html#SECTION003219000000000000000</a></div>
<div><br></div><div>According to this entry here, you really don't want to use signatures to white/blacklist stuff:</div><div><a href="http://vrt-blog.snort.org/2012/04/snort-performance-and-ip-only-rules.html">http://vrt-blog.snort.org/2012/04/snort-performance-and-ip-only-rules.html</a></div>
<div><br></div><div><br></div><div>-evejou</div><div><br></div><div><br></div><div><br></div><div><br></div><div><br></div><br><div class="gmail_quote">On Fri, May 18, 2012 at 4:18 PM, Tyler MacPherson <span dir="ltr"><<a href="mailto:tah338@...3678..." target="_blank">tah338@...3678...</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hi,<br>
<br>
I recently put Snort on a system for my work. I'm trying to configure it<br>
by writing certain rules, but since I'm brand new to Snort, I'm having<br>
some trouble figuring out how to write these rules. Basically, the<br>
system I'm deploying Snort on should only be receiving traffic through<br>
two avenues: a MySQL database and Oracle database that are linked to it.<br>
Everything else should be picked up Snort as potentially being bad. What<br>
I'm wondering is, how would I go about writing rules that would achieve<br>
this goal?<br>
<br>
Thank you.<br>
<br>
--<br>
Tyler MacPherson<br>
Student Operator<br>
UNH Research Computing Center<br>
<a href="tel:%28603%29%20862-4518" value="+16038624518">(603) 862-4518</a><br>
<br>
<br>
------------------------------------------------------------------------------<br>
Live Security Virtual Conference<br>
Exclusive live event will cover all the ways today's security and<br>
threat landscape has changed and how IT managers can respond. Discussions<br>
will include endpoint security, mobile security and the latest in malware<br>
threats. <a href="http://www.accelacomm.com/jaw/sfrnl04242012/114/50122263/" target="_blank">http://www.accelacomm.com/jaw/sfrnl04242012/114/50122263/</a><br>
_______________________________________________<br>
Snort-sigs mailing list<br>
<a href="mailto:Snort-sigs@lists.sourceforge.net">Snort-sigs@...639...forge.net</a><br>
<a href="https://lists.sourceforge.net/lists/listinfo/snort-sigs" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-sigs</a><br>
<a href="http://www.snort.org" target="_blank">http://www.snort.org</a><br>
<br>
<br>
Please visit <a href="http://blog.snort.org" target="_blank">http://blog.snort.org</a> for the latest news about Snort!<br>
</blockquote></div><br><br clear="all"><div><br></div>-- <br><div><span>"We who cut mere stones must always be envisioning cathedrals." -- Quarry worker's creed.</span><div>(The Pragmatic Programmer, by Andrew Hunt and David Thomas.)</div>
</div><br>
</div></blockquote><blockquote type="cite"><div><span>------------------------------------------------------------------------------</span><br><span>Live Security Virtual Conference</span><br><span>Exclusive live event will cover all the ways today's security and </span><br><span>threat landscape has changed and how IT managers can respond. Discussions </span><br><span>will include endpoint security, mobile security and the latest in malware </span><br><span>threats. <a href="http://www.accelacomm.com/jaw/sfrnl04242012/114/50122263/">http://www.accelacomm.com/jaw/sfrnl04242012/114/50122263/</a></span></div></blockquote><blockquote type="cite"><div><span>_______________________________________________</span><br><span>Snort-sigs mailing list</span><br><span><a href="mailto:Snort-sigs@lists.sourceforge.net">Snort-sigs@lists.sourceforge.net</a></span><br><span><a href="https://lists.sourceforge.net/lists/listinfo/snort-sigs">https://lists.sourceforge.net/lists/listinfo/snort-sigs</a></span><br><span><a href="http://www.snort.org">http://www.snort.org</a></span><br><span></span><br><span></span><br><span>Please visit <a href="http://blog.snort.org">http://blog.snort.org</a> for the latest news about Snort!</span></div></blockquote></body></html>