<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 3.2//EN">
<HTML>
<HEAD>
<META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=iso-8859-1">
<META NAME="Generator" CONTENT="MS Exchange Server version 5.5.2652.35">
<TITLE>Question about preprocessor portscan and ignoring ports</TITLE>
</HEAD>
<BODY>

<P><FONT SIZE=2 FACE="Arial">I would like to make sure if the preprocessor portscan works like I think it is.</FONT>
</P>

<P><FONT SIZE=2 FACE="Arial">If I use the preprocessor portscan and that I ignore some traffic, will the </FONT>
<BR><FONT SIZE=2 FACE="Arial">traffic been ignore will be count in the preprocessor portscan. Or in other </FONT>
<BR><FONT SIZE=2 FACE="Arial">words, is the traffic been ignore is ignored before or after the preprocessor </FONT>
<BR><FONT SIZE=2 FACE="Arial">portscan.</FONT>
</P>

<P><FONT SIZE=2 FACE="Arial">I only want to make sure that connections on our web servers will not be</FONT>
<BR><FONT SIZE=2 FACE="Arial">count in the preprocessor portscan.</FONT>
</P>
<BR>

<P><FONT SIZE=2 FACE="Arial">Will the following configs do it ?</FONT>
</P>

<P><FONT SIZE=2 FACE="Arial">(from my config file)</FONT>
<BR><FONT SIZE=2 FACE="Arial">preprocessor portscan: 192.168.6.0/24 5 7 /var/log/snort_portscan.log</FONT>
</P>

<P><FONT SIZE=2 FACE="Arial"># ignore incoming traffic to web servers</FONT>
<BR><FONT SIZE=2 FACE="Arial">pass tcp any 80 <> any any </FONT>
<BR><FONT SIZE=2 FACE="Arial">pass tcp any 443 <> any any</FONT>
</P>

<P><FONT SIZE=2 FACE="Arial"># ignore outgoing traffic to email servers</FONT>
<BR><FONT SIZE=2 FACE="Arial">pass tcp any any <> any 25</FONT>
</P>
<BR>

<P><FONT SIZE=2 FACE="Arial">Thanks, Jean-Philippe Grenier</FONT>
</P>

</BODY>
</HTML>