<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML><HEAD>
<META http-equiv=Content-Type content="text/html; charset=iso-8859-1">
<META content="MSHTML 5.50.4134.600" name=GENERATOR>
<STYLE></STYLE>
</HEAD>
<BODY bgColor=#ffffff>
<DIV>
<DIV><FONT face=Arial size=2>Finally after several hours, I have to send this to 
the list.  I wish to ignore web browsing requests.  Please take a look 
at the rules below.  I keep seeing the logs (yes I have HUPPED 
snort).  I will admit I am not a good rules writer.</FONT></DIV>
<DIV><FONT face=Arial size=2></FONT> </DIV>
<DIV><FONT face=Arial size=2>N</FONT></DIV>
<DIV><FONT face=Arial size=2></FONT> </DIV>
<DIV><FONT face=Arial size=2>---------------------------</FONT></DIV>
<DIV><FONT face=Arial size=2></FONT> </DIV>
<DIV><FONT face=Arial size=2>var EXTERNAL 
[192.168.13.248/32,192.168.13.249/32,208.192.168.250/32,192.168.13.251/32]<BR>var 
IDSHOST 192.168.13.251/32<BR>var PORTS    3<BR>var SECONDS  
5</FONT></DIV>
<DIV><FONT face=Arial size=2></FONT> </DIV>
<DIV><FONT face=Arial size=2>##### Output<BR>output alert_fast: 
/var/log/snort.alert</FONT></DIV>
<DIV> </DIV>
<DIV><FONT face=Arial size=2>##### Preprocessors<BR>preprocessor http_decode: 80 
443 8080<BR>preprocessor minfrag: 128<BR>preprocessor portscan: $INTERNAL $PORTS 
$SECONDS /var/log/snort/portscan<BR>preprocessor portscan-ignorehosts: 
$EXTERNAL<BR></FONT></DIV>
<DIV><FONT face=Arial size=2># Logging tcp<BR>log tcp any any <> $EXTERNAL 
21 (session: printable;)<BR>log tcp any any <> $EXTERNAL 23 (session: 
printable;)<BR>log tcp any any <> $EXTERNAL 25 (session: 
printable;)<BR>log tcp !$EXTERNAL any -> $EXTERNAL 53 (session: 
printable;)<BR>log tcp any any <> $EXTERNAL 69 (session: 
printable;)<BR>log tcp any any <> $EXTERNAL 79 (session: 
printable;)<BR>pass tcp any 80 <> $EXTERNAL any <BR>#log tcp !$EXTERNAL 
any -> $EXTERNAL 80 (session: printable;)<BR>log tcp any any <> 
$EXTERNAL 110 (session: printable;)<BR>log tcp any any <> $EXTERNAL 111 
(session: printable;)<BR>log tcp any any <> $EXTERNAL 113 (session: 
printable;)<BR>log tcp any any <> $EXTERNAL 143 (session: 
printable;)<BR>log tcp any any <> $EXTERNAL 512:515 (session: 
printable;)<BR>log tcp any any <> $EXTERNAL 600:620 (session: 
printable;)<BR>log tcp any any <> $EXTERNAL 1111 (session: 
printable;)<BR>log tcp any any <> $EXTERNAL 6660:6669 (session: 
printable;)<BR>pass tcp any any <> $IDSHOST 22<BR>log tcp !$EXTERNAL any 
<> $EXTERNAL !22 </FONT></DIV></DIV></BODY></HTML>