<html><head><meta http-equiv="Content-Type" content="text/html charset=iso-8859-1"></head><body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; "><div><div>On May 8, 2013, at 3:24 PM, MA Bel <<a href="mailto:mab_generic@...3751...">mab_generic@...3751...</a>> wrote:</div><br class="Apple-interchange-newline"><blockquote type="cite"><span style="font-family: Calibri; font-size: 16px; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: 2; text-align: -webkit-auto; text-indent: 0px; text-transform: none; white-space: normal; widows: 2; word-spacing: 0px; -webkit-text-size-adjust: auto; -webkit-text-stroke-width: 0px; display: inline !important; float: none; ">Again... SID 21545 is also missing.   I found this link, which points to a disabled rule (which I have enabled).</span><div style="font-family: Calibri; font-size: 16px; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: 2; text-align: -webkit-auto; text-indent: 0px; text-transform: none; white-space: normal; widows: 2; word-spacing: 0px; -webkit-text-size-adjust: auto; -webkit-text-stroke-width: 0px; "><br></div><div style="font-family: Calibri; font-size: 16px; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: 2; text-align: -webkit-auto; text-indent: 0px; text-transform: none; white-space: normal; widows: 2; word-spacing: 0px; -webkit-text-size-adjust: auto; -webkit-text-stroke-width: 0px; "><a href="http://www.snort.org/vrt/docs/ruleset_changelogs/2_9_1_2/changes-2012-03-08.html">http://www.snort.org/vrt/docs/ruleset_changelogs/2_9_1_2/changes-2012-03-08.html</a></div><div style="font-family: Calibri; font-size: 16px; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: 2; text-align: -webkit-auto; text-indent: 0px; text-transform: none; white-space: normal; widows: 2; word-spacing: 0px; -webkit-text-size-adjust: auto; -webkit-text-stroke-width: 0px; "><br></div><div style="font-family: Calibri; font-size: 16px; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: 2; text-align: -webkit-auto; text-indent: 0px; text-transform: none; white-space: normal; widows: 2; word-spacing: 0px; -webkit-text-size-adjust: auto; -webkit-text-stroke-width: 0px; ">What's the point of leaving rule in the rules file if the goal is to never use it? Correct me if I'm wrong but this appears to be the motivation behind the removal of the related information page.</div></blockquote></div><br><div>We don't know what software you are running on your network, plus the disabled/enabled state only indicates that the rule is in the balanced policy or not.  It's not an indication if the rule is in the security policy or in no policies at all.  </div><div><br></div><div><a href="http://blog.snort.org/2012/01/importance-of-pulledpork.html">http://blog.snort.org/2012/01/importance-of-pulledpork.html</a>  <-- Please read.</div><div><br></div><div>We generally leave all rules in the system unless they are removed by newer detection, redundancy, etc.  </div><div><br></div><div>This is going to change in the near future by establishing exactly what is in each policy.  We'll publish this cut and dry criteria at that time.</div><div><br></div><div><span style="font-size: 12px; font-family: 'Lucida Grande'; ">--</span><br><span style="font-size: 12px; font-family: 'Lucida Grande'; "><b>Joel Esler</b></span><br><span style="font-size: 12px; font-family: 'Lucida Grande'; ">Senior Research Engineer, VRT</span><br><span style="font-size: 12px; font-family: 'Lucida Grande'; ">OpenSource Community Manager</span><br><span style="font-size: 12px; font-family: 'Lucida Grande'; ">Sourcefire</span></div></body></html>