<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 3.2//EN">
<HTML>
<HEAD>
<META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=US-ASCII">
<META NAME="Generator" CONTENT="MS Exchange Server version 5.5.2653.12">
<TITLE>Re: [Snort-users] rules difficulty</TITLE>
</HEAD>
<BODY>

<P><FONT SIZE=2>Or better yet just use snort in it's packet logger mode and do something like:</FONT>
</P>

<P><FONT SIZE=2>snort -b -l /var/wherever</FONT>
</P>

<P><FONT SIZE=2>You can even add BPF style filters just like in tcpdump and do something like:</FONT>
</P>

<P><FONT SIZE=2>snort -b -l /var/wherever 'net 192.117.88.0/20'</FONT>
</P>

<P><FONT SIZE=2>Which will grab anything to or from that network.  You can also grab a whole BPF file with the -F if you want to make a really complicated filter - perfect for replacing Shadow.</FONT></P>

<P><FONT SIZE=2>--j</FONT>
</P>

<P><FONT SIZE=2>J Cruit <j@...1642...></FONT>
<BR><FONT SIZE=2>'Abusus non tolit usum'</FONT>
</P>

<P><FONT SIZE=2>>Greg Sarsons <gsarsons@...530...> writes:</FONT>
<BR><FONT SIZE=2>></FONT>
<BR><FONT SIZE=2>> I'm having trouble getting my rule to do what I want.  It is simple all</FONT>
<BR><FONT SIZE=2>> I want is to log everything from this range ie see what traffic is</FONT>
<BR><FONT SIZE=2>> coming and going from the network.</FONT>
<BR><FONT SIZE=2>></FONT>
<BR><FONT SIZE=2>> the range is x.117.88.0 to x.117.95.255</FONT>
<BR><FONT SIZE=2>></FONT>
<BR><FONT SIZE=2>> I guess my confusion is over getting the correct HOME_NET and</FONT>
<BR><FONT SIZE=2>> EXTERNAL_NET variables.</FONT>
<BR><FONT SIZE=2>></FONT>
<BR><FONT SIZE=2>>Try</FONT>
<BR><FONT SIZE=2>></FONT>
<BR><FONT SIZE=2>>var $HOME_NET 192.117.88.0/20</FONT>
<BR><FONT SIZE=2>>var $EXTERNAL_NET !$HOME_NET</FONT>
<BR><FONT SIZE=2>></FONT>
<BR><FONT SIZE=2>></FONT>
<BR><FONT SIZE=2>>If your goal is to do all traffic, I'd just use something like tcpdump</FONT>
<BR><FONT SIZE=2>>and then use snort to investigate afterwards.</FONT>
<BR><FONT SIZE=2>>-- </FONT>
<BR><FONT SIZE=2>>Chris Green <cmg@...671...></FONT>
<BR><FONT SIZE=2>>Fame may be fleeting but obscurity is forever.</FONT>
</P>

</BODY>
</HTML>