<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML><HEAD>
<META content="text/html; charset=iso-8859-1" http-equiv=Content-Type>
<META content="MSHTML 5.00.3019.2500" name=GENERATOR>
<STYLE></STYLE>
</HEAD>
<BODY bgColor=#ffffff>
<DIV><FONT face=Arial size=2>Hello all,</FONT></DIV>
<DIV> </DIV>
<DIV><FONT face=Arial size=2>I have been doing alot of searching for information 
on the correct Berkley Packet Filtering syntax that Snort can use. I'm not 
having much luck. I know how to call certain simple BPF operations, but not 
exactly what I'm trying to accomplish.</FONT></DIV>
<DIV> </DIV>
<DIV><FONT face=Arial size=2>I run Snort 1.7 in the mode:</FONT></DIV>
<DIV> </DIV>
<DIV><FONT face=Arial size=2>snort -o -A fast -N -s -c snort.conf</FONT></DIV>
<DIV> </DIV>
<DIV><FONT face=Arial size=2>and I would like to know what the correct BPF 
syntax would be to ignore my home network x.x.0.0/16 going out with a 
destination of port 80.</FONT></DIV>
<DIV> </DIV>
<DIV><FONT face=Arial size=2>I do not want to disable the new unicode and cgi 
decoding capabilities but I get too many messages with my network, such as cache 
engines as the source address.</FONT></DIV>
<DIV> </DIV>
<DIV><FONT face=Arial size=2>Thanks for your help.</FONT></DIV>
<DIV> </DIV>
<DIV><FONT face=Arial size=2>Brent Erickson</FONT></DIV>
<DIV> </DIV></BODY></HTML>