<HTML><HEAD></HEAD>
<BODY dir=ltr>
<DIV dir=ltr>
<DIV style="FONT-SIZE: 12pt; FONT-FAMILY: 'Calibri'; COLOR: #000000">
<DIV>My guess is flowbit: set in rule A.</DIV>
<DIV>flowbit: isset in rule B. (rule B takes action, not rule A)</DIV>
<DIV> </DIV>
<DIV>The pdf manual (<A 
href="https://www.snort.org/documents/1">https://www.snort.org/documents/1</A> 
or <A 
href="https://www.snort.org/#documents):">https://www.snort.org/#documents):</A> 
says</DIV>
<DIV>3: writing snort rules</DIV>
<DIV>3.6: non-payload detection rule options</DIV>
<DIV>3.6.10 flowbits</DIV>
<DIV>Most of the options need a user-defined name for the specific state that is 
being checked.</DIV>
<DIV> </DIV>
<DIV>flowbits:[set|isset][, <GROUP_NAME>];</DIV>
<DIV> </DIV>
<DIV>you'll find flowbit: set examples in some existing rules.</DIV>
<DIV>flowbit is described in “ips options” for snort 3/snort++</DIV>
<DIV>Other solution may come from other IDS like bro, prelude IDS or haka</DIV>
<DIV 
style='FONT-SIZE: small; TEXT-DECORATION: none; FONT-FAMILY: "Calibri"; FONT-WEIGHT: normal; COLOR: #000000; FONT-STYLE: normal; DISPLAY: inline'>
<DIV style="FONT: 10pt tahoma">
<DIV> </DIV>
<DIV style="BACKGROUND: #f5f5f5">
<DIV style="font-color: black"><B>Subject:</B> [Snort-sigs] Snort as IPS and 
correlation</DIV></DIV></DIV>
<DIV></DIV>
<DIV 
style='FONT-SIZE: small; TEXT-DECORATION: none; FONT-FAMILY: "Calibri"; FONT-WEIGHT: normal; COLOR: #000000; FONT-STYLE: normal; DISPLAY: inline'><BR>1- 
Snort receive a packet that matches with a rule [RULE A] (RULE A includes 
blocking source address in iptables through snortsam)<BR><BR>2- Action for [RULE 
A] stands in "standby" until another rule [RULE B] is matched<BR><BR>3- Once 
[RULE B] is matched, then [RULE A] performs actions configured on 
it.<BR></DIV><BR></DIV></DIV></DIV></BODY></HTML>