<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML><HEAD>
<META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=iso-8859-1">
<TITLE>Snort.conf question $HOME_NET Question V1.8.6</TITLE>

<META content="MSHTML 5.50.4807.2300" name=GENERATOR></HEAD>
<BODY>
<DIV><SPAN class=698465420-14052002><FONT face=Arial color=#0000ff 
size=2>If all of your addresses contiguous like you have listed 
below, condense them in to smaller CIDR block[s].</FONT></SPAN></DIV>
<DIV><SPAN class=698465420-14052002><FONT face=Arial color=#0000ff size=2>A 
single CIDR of  10.10.0.0/17 will cover you from 10.10.0.0 -> 
10.10.127.255.</FONT></SPAN></DIV>
<DIV><SPAN class=698465420-14052002><FONT face=Arial color=#0000ff 
size=2></FONT></SPAN> </DIV>
<DIV><SPAN class=698465420-14052002><FONT face=Arial color=#0000ff 
size=2>vjl</FONT></SPAN></DIV>
<BLOCKQUOTE dir=ltr style="MARGIN-RIGHT: 0px">
  <DIV class=OutlookMessageHeader dir=ltr align=left><FONT face=Tahoma 
  size=2>-----Original Message-----<BR><B>From:</B> Rose, Jerry L SAJ Contractor 
  [mailto:Jerry.L.Rose@...3923...]<BR><B>Sent:</B> Tuesday, May 14, 
  2002 4:27 PM<BR><B>To:</B> 
  'snort-users@lists.sourceforge.net'<BR><B>Subject:</B> [Snort-users] 
  Snort.conf question $HOME_NET Question V1.8.6<BR><BR></FONT></DIV>
  <P><FONT face=Arial size=2>Running on Linux (RedHat 7.2) - Snort 1.8.6</FONT> 
  <BR><FONT face=Arial size=2>My home network (internal network addresses) runs 
  as </FONT><BR><FONT face=Arial size=2>follows (not my real 
  addresses)...</FONT> <BR><FONT face=Arial size=2>10.10.10.0/24</FONT> 
  <BR><FONT face=Arial size=2>10.10.11.0/24</FONT> <BR><FONT face=Arial 
  size=2>10.10.12.0/24</FONT> <BR><FONT face=Arial size=2>and so on and so forth 
  for about 70 entries.</FONT> </P>
  <P><FONT face=Arial size=2>If I try this in snort.conf...</FONT> <BR><FONT 
  face=Arial size=2>var Home_NET [10.10.10.0/24,10.10.11.0/24,10.10.12.0/24,the 
  rest through10.10.80.0/24]</FONT> <BR><FONT face=Arial size=2>then snort will 
  not run.</FONT> </P>
  <P><FONT face=Arial size=2>I'm using this format below. Snort runs, but it 
  seems that the </FONT><BR><FONT face=Arial size=2>variable HOME_NET isn't 
  really what I think I am telling it to be.</FONT> <BR><FONT face=Arial 
  size=2>var NET_01 
  [10.10.10.0/24,10.10.11.0/24,10.10.12.0/24...........10.10.30.0/24]</FONT> 
  <BR><FONT face=Arial size=2>var NET_02 
  [10.10.31.0/24,10.10.32.0/24,10.10.33.0/24...........10.10.60.0/24]</FONT> 
  <BR><FONT face=Arial size=2>var NET_03 
  [10.10.61.0/24,10.62.10.0/24,10.10.63.0/24...........10.10.80.0/24]</FONT> 
</P>
  <P><FONT face=Arial size=2>var HOME_NET $NET_01 $NET_02 $NET_03</FONT> </P>
  <P><FONT face=Arial size=2>var EXTERNAL_NET !$HOME_NET</FONT> </P>
  <P><FONT face=Arial size=2>Alerts like $EXTERNAL_NET any > $HOME_NET any 
  are being logged even though</FONT> <BR><FONT face=Arial size=2>the packets 
  are coming from internal addresses - what I intended to be </FONT><BR><FONT 
  face=Arial size=2>included in $HOME_NET.</FONT> </P>
  <P><FONT face=Arial size=2>Any Ideas?</FONT> </P>
  <P><FONT face=Arial size=2>jerry.l.rose@...5866...</FONT> 
</P></BLOCKQUOTE></BODY></HTML>