<html xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns="http://www.w3.org/TR/REC-html40">

<head>
<meta http-equiv=Content-Type content="text/html; charset=iso-8859-1">
<meta name=ProgId content=Word.Document>
<meta name=Generator content="Microsoft Word 10">
<meta name=Originator content="Microsoft Word 10">
<link rel=File-List href="cid:filelist.xml@...4181...">
<!--[if gte mso 9]><xml>
 <o:OfficeDocumentSettings>
  <o:DoNotRelyOnCSS/>
 </o:OfficeDocumentSettings>
</xml><![endif]--><!--[if gte mso 9]><xml>
 <w:WordDocument>
  <w:SpellingState>Clean</w:SpellingState>
  <w:GrammarState>Clean</w:GrammarState>
  <w:DocumentKind>DocumentEmail</w:DocumentKind>
  <w:EnvelopeVis/>
  <w:DrawingGridHorizontalSpacing>6 pt</w:DrawingGridHorizontalSpacing>
  <w:DrawingGridVerticalSpacing>8.15 pt</w:DrawingGridVerticalSpacing>
  <w:DisplayHorizontalDrawingGridEvery>2</w:DisplayHorizontalDrawingGridEvery>
  <w:DisplayVerticalDrawingGridEvery>2</w:DisplayVerticalDrawingGridEvery>
  <w:Compatibility>
   <w:BreakWrappedTables/>
   <w:SnapToGridInCell/>
   <w:WrapTextWithPunct/>
   <w:UseAsianBreakRules/>
  </w:Compatibility>
  <w:BrowserLevel>MicrosoftInternetExplorer4</w:BrowserLevel>
 </w:WordDocument>
</xml><![endif]-->
<style>
<!--
 /* Style Definitions */
 p.MsoNormal, li.MsoNormal, div.MsoNormal
        {mso-style-parent:"";
        margin:0in;
        margin-bottom:.0001pt;
        mso-pagination:widow-orphan;
        font-size:12.0pt;
        font-family:"Times New Roman";
        mso-fareast-font-family:"Times New Roman";}
a:link, span.MsoHyperlink
        {color:blue;
        text-decoration:underline;
        text-underline:single;}
a:visited, span.MsoHyperlinkFollowed
        {color:purple;
        text-decoration:underline;
        text-underline:single;}
span.EmailStyle17
        {mso-style-type:personal-compose;
        mso-style-noshow:yes;
        mso-ansi-font-size:10.0pt;
        mso-bidi-font-size:10.0pt;
        font-family:Arial;
        mso-ascii-font-family:Arial;
        mso-hansi-font-family:Arial;
        mso-bidi-font-family:Arial;
        color:windowtext;}
span.SpellE
        {mso-style-name:"";
        mso-spl-e:yes;}
span.GramE
        {mso-style-name:"";
        mso-gram-e:yes;}
@page Section1
        {size:297.35pt 9.5in;
        margin:.25in .75in .5in .75in;
        mso-header-margin:.5in;
        mso-footer-margin:.5in;
        mso-paper-source:4 0;}
div.Section1
        {page:Section1;}
-->
</style>
<!--[if gte mso 10]>
<style>
 /* Style Definitions */ 
 table.MsoNormalTable
        {mso-style-name:"Table Normal";
        mso-tstyle-rowband-size:0;
        mso-tstyle-colband-size:0;
        mso-style-noshow:yes;
        mso-style-parent:"";
        mso-padding-alt:0in 5.4pt 0in 5.4pt;
        mso-para-margin:0in;
        mso-para-margin-bottom:.0001pt;
        mso-pagination:widow-orphan;
        font-size:10.0pt;
        font-family:"Times New Roman";}
</style>
<![endif]-->
</head>

<body lang=EN-US link=blue vlink=purple style='tab-interval:.5in'>

<div class=Section1>

<p class=MsoNormal style='mso-layout-grid-align:none'><font size=2
face="Courier New"><span style='font-size:10.0pt;font-family:"Courier New"'>Hi
folks....<o:p></o:p></span></font></p>

<p class=MsoNormal style='mso-layout-grid-align:none'><font size=2
face="Courier New"><span style='font-size:10.0pt;font-family:"Courier New"'><o:p> </o:p></span></font></p>

<p class=MsoNormal style='mso-layout-grid-align:none'><font size=2
face="Courier New"><span style='font-size:10.0pt;font-family:"Courier New"'>I
am pretty new to snort...so this may be a dumb question but here goes...<o:p></o:p></span></font></p>

<p class=MsoNormal style='mso-layout-grid-align:none'><font size=2
face="Courier New"><span style='font-size:10.0pt;font-family:"Courier New"'><o:p> </o:p></span></font></p>

<p class=MsoNormal style='mso-layout-grid-align:none'><font size=2
face="Courier New"><span style='font-size:10.0pt;font-family:"Courier New"'>I
have a snort box that has 2 sensors running on 2 different <span class=SpellE>nic's</span>.
<o:p></o:p></span></font></p>

<p class=MsoNormal style='mso-layout-grid-align:none'><font size=2
face="Courier New"><span style='font-size:10.0pt;font-family:"Courier New"'>One
of the <span class=SpellE>nic's</span> is capturing data outside the firewall
and is working <o:p></o:p></span></font></p>

<p class=MsoNormal style='mso-layout-grid-align:none'><span class=GramE><font
size=2 face="Courier New"><span style='font-size:10.0pt;font-family:"Courier New"'>perfectly</span></font></span><font
size=2 face="Courier New"><span style='font-size:10.0pt;font-family:"Courier New"'>
fine.<span style='mso-spacerun:yes'>  </span>The other <span class=SpellE>nic</span>
is capturing data inside the firewall <o:p></o:p></span></font></p>

<p class=MsoNormal style='mso-layout-grid-align:none'><span class=GramE><font
size=2 face="Courier New"><span style='font-size:10.0pt;font-family:"Courier New"'>from</span></font></span><font
size=2 face="Courier New"><span style='font-size:10.0pt;font-family:"Courier New"'>
a monitor port on an HP switch (where we forwarded all switch <o:p></o:p></span></font></p>

<p class=MsoNormal style='mso-layout-grid-align:none'><span class=GramE><font
size=2 face="Courier New"><span style='font-size:10.0pt;font-family:"Courier New"'>traffic</span></font></span><font
size=2 face="Courier New"><span style='font-size:10.0pt;font-family:"Courier New"'>
to).<span style='mso-spacerun:yes'>  </span>The internal sensor is only picking
up UDP data... and a <o:p></o:p></span></font></p>

<p class=MsoNormal style='mso-layout-grid-align:none'><span class=GramE><font
size=2 face="Courier New"><span style='font-size:10.0pt;font-family:"Courier New"'>TON
of it.</span></font></span><font size=2 face="Courier New"><span
style='font-size:10.0pt;font-family:"Courier New"'><span
style='mso-spacerun:yes'>  </span>It doubled the database size and then some in
one night <o:p></o:p></span></font></p>

<p class=MsoNormal style='mso-layout-grid-align:none'><span class=GramE><font
size=2 face="Courier New"><span style='font-size:10.0pt;font-family:"Courier New"'>just</span></font></span><font
size=2 face="Courier New"><span style='font-size:10.0pt;font-family:"Courier New"'>
from garbage sensor reports.<o:p></o:p></span></font></p>

<p class=MsoNormal><font size=2 face="Courier New"><span style='font-size:10.0pt;
font-family:"Courier New"'><o:p> </o:p></span></font></p>

<p class=MsoNormal><font size=2 face="Courier New"><span style='font-size:10.0pt;
font-family:"Courier New"'>Why is it not picking any TCP traffic?<span
style='mso-spacerun:yes'>  </span>Am I doing something wrong here? <o:p></o:p></span></font></p>

<p class=MsoNormal><font size=2 face="Courier New"><span style='font-size:10.0pt;
font-family:"Courier New"'><o:p> </o:p></span></font></p>

<p class=MsoNormal><font size=2 face="Courier New"><span style='font-size:10.0pt;
font-family:"Courier New"'>My <span class=SpellE>snort.conf</span> has:<o:p></o:p></span></font></p>

<p class=MsoNormal><font size=2 face="Courier New"><span style='font-size:10.0pt;
font-family:"Courier New"'><o:p> </o:p></span></font></p>

<p class=MsoNormal><span class=GramE><font size=2 face="Courier New"><span
style='font-size:10.0pt;font-family:"Courier New"'>log</span></font></span><font
size=2 face="Courier New"><span style='font-size:10.0pt;font-family:"Courier New"'>
<span class=SpellE>tcp</span> any <span class=SpellE>any</span> -> 10.10.0.0/20
any <span class=SpellE>any</span> <o:p></o:p></span></font></p>

<p class=MsoNormal><font size=2 face="Courier New"><span style='font-size:10.0pt;
font-family:"Courier New"'><o:p> </o:p></span></font></p>

<p class=MsoNormal><font size=2 face="Courier New"><span style='font-size:10.0pt;
font-family:"Courier New"'>Thanks<o:p></o:p></span></font></p>

<p class=MsoNormal><font size=2 face="Courier New"><span style='font-size:10.0pt;
font-family:"Courier New"'><o:p> </o:p></span></font></p>

<p class=MsoNormal><font size=2 face="Courier New"><span style='font-size:10.0pt;
font-family:"Courier New"'>Tinu<o:p></o:p></span></font></p>

<p class=MsoNormal><font size=2 face=Arial><span style='font-size:10.0pt;
font-family:Arial'><o:p> </o:p></span></font></p>

</div>

</body>

</html>