<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML><HEAD>
<META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=iso-8859-1">


<META content="MSHTML 6.00.2712.300" name=GENERATOR>
<STYLE></STYLE>
</HEAD>
<BODY bgColor=#ffffff>
<DIV><SPAN class=050264218-12022002><FONT face=Arial color=#0000ff size=2>Can 
you just ignore it through the command line?  That's how I'm keeping our 
scanning systems from showing up:</FONT></SPAN></DIV>
<DIV><SPAN class=050264218-12022002><FONT face=Arial color=#0000ff 
size=2></FONT></SPAN> </DIV>
<DIV><SPAN class=050264218-12022002><FONT face=Arial color=#0000ff size=2>snort 
-bdD -o -c /usr/local/etc/snort.conf not host 10.1.1.9</FONT></SPAN></DIV>
<DIV><SPAN class=050264218-12022002></SPAN> </DIV>
<P><FONT size=2>Randy Graham<BR>--<BR>The Internet?  Bah!  Is that 
thing still around?  -- Homer Simpson<BR><A 
href="http://www.securitynewbie.com/" 
target=_blank>http://www.securitynewbie.com/</A> - for people like 
me<BR></FONT></P>
<BLOCKQUOTE dir=ltr 
style="PADDING-LEFT: 5px; MARGIN-LEFT: 5px; BORDER-LEFT: #0000ff 2px solid; MARGIN-RIGHT: 0px">
  <DIV class=OutlookMessageHeader dir=ltr align=left><FONT face=Tahoma 
  size=2>-----Original Message-----<BR><B>From:</B> Peter Sundstrom 
  [mailto:peter@...4950...]<BR><B>Sent:</B> Monday, February 11, 2002 8:47 
  PM<BR><B>To:</B> snort-users@lists.sourceforge.net<BR><B>Subject:</B> 
  [Snort-users] Problems ignoring a host<BR><BR></FONT></DIV>
  <DIV><FONT face=Arial size=2>I'm trying to ignore alerts triggered by our 
  scanner without any luck.</FONT></DIV>
  <DIV><FONT face=Arial size=2></FONT> </DIV>
  <DIV><FONT face=Arial size=2>I've read through the doco and FAQ, and seem to 
  have everything that is required, but obviously, I'm still missing 
  something.</FONT></DIV>
  <DIV><FONT face=Arial size=2></FONT> </DIV>
  <DIV><FONT face=Arial size=2>I'm running snort 1.8.3 on Solaris 
  2.6.  It gets started with:</FONT></DIV>
  <DIV><FONT face=Arial size=2></FONT> </DIV>
  <DIV><FONT face=Arial size=2>snort -bdD -o -c 
  /usr/local/etc/snort.conf</FONT></DIV>
  <DIV><FONT face=Arial size=2></FONT> </DIV>
  <DIV><FONT face=Arial size=2>Note, that I have the -o flag to change the rule 
  processing order.</FONT></DIV>
  <DIV><FONT face=Arial size=2></FONT> </DIV>
  <DIV><FONT face=Arial size=2>In snort.conf, I have include local.rules in the 
  rulesets.  I tried changing the order of the rulesets, without any 
  difference.</FONT></DIV>
  <DIV><FONT face=Arial size=2></FONT> </DIV>
  <DIV><FONT face=Arial size=2>In local.rules I have:</FONT></DIV>
  <DIV><FONT face=Arial size=2></FONT> </DIV>
  <DIV><FONT face=Arial size=2>pass IP 192.168.1.25/32 any -> any any<BR>pass 
  TCP 192.168.1.25/32 any -> any any<BR>pass ICMP 192.168.1.25/32 any -> 
  any any<BR>pass UDP 192.168.1.25/32 any -> any any</FONT></DIV>
  <DIV><FONT face=Arial size=2></FONT> </DIV>
  <DIV><FONT face=Arial size=2>What am I missing?</DIV>
  <DIV><BR></DIV></FONT>
  <DIV><FONT face=Arial size=2></FONT> </DIV>
  <DIV><FONT face=Arial size=2></FONT> </DIV>
  <DIV><FONT face=Arial size=2></FONT> </DIV></BLOCKQUOTE></BODY></HTML>