<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 3.2//EN">
<HTML>
<HEAD>
<META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=us-ascii">
<META NAME="Generator" CONTENT="MS Exchange Server version 6.0.6249.1">
<TITLE>Home_net & external_net</TITLE>
</HEAD>
<BODY>
<!-- Converted from text/rtf format -->

<P><FONT SIZE=2 FACE="Arial">I have something that is driving me crazy.</FONT>
</P>

<P><FONT SIZE=2 FACE="Arial">I have alerts going off from within two different segments of my HOME_NET.  I don't understand why I am seeing these.  Here are the 2 lines from my snort.conf:</FONT></P>

<P><FONT SIZE=2 FACE="Arial">var HOME_NET [192.168.40.0/24,192.168.41.0/24,10.14.0.0/16]</FONT>

<BR><FONT SIZE=2 FACE="Arial">var EXTERNAL_NET [any,!192.168.40.0/24,!10.14.0.0/16]</FONT>
</P>

<P><FONT SIZE=2 FACE="Arial">I have an alert from 10.14.1.50 going to 192.168.40.65 that is SNMP request udp.  Why is that showing up?  Since they are both HOME_NET networks, shouldn't snort not log this type of activity?</FONT></P>

<P><FONT SIZE=2 FACE="Arial">I also have other examples:</FONT>

<BR><FONT FACE="Arial" SIZE=2 COLOR="#000000">
<IMG SRC="No%20AttachName" alt="Picture (Metafile)"></FONT><FONT FACE="Arial" SIZE=2 COLOR="#000000">
<IMG SRC="No%20AttachName-1" alt="Picture (Metafile)"></FONT><A HREF="file://acid_qry_alert.php?submit=%237-%282-1418%29&sort_order="><U><FONT COLOR="#0000FF" FACE="Times New Roman">#7-(2-1418)</FONT></U></A><FONT FACE="Times New Roman"> </FONT><FONT SIZE=2 FACE="Times New Roman">[</FONT><A HREF="http://www.whitehats.com/info/ids311"><U><FONT COLOR="#0000FF" SIZE=2 FACE="Times New Roman">arachnids</FONT></U></A><FONT SIZE=2 FACE="Times New Roman">][</FONT><A HREF="http://www.snort.org/snort-db/sid.html?sid=466"><U><FONT COLOR="#0000FF" SIZE=2 FACE="Times New Roman">snort</FONT></U></A><FONT SIZE=2 FACE="Times New Roman">]</FONT><FONT FACE="Times New Roman"> ICMP L3retriever Ping 2002-12-05 18:13:15 </FONT><A HREF="file://acid_stat_ipaddr.php?ip=10.14.1.50&netmask=32"><U><FONT COLOR="#0000FF" FACE="Times New Roman">10.14.1.50</FONT></U></A><FONT FACE="Times New Roman"> </FONT><A HREF="file://acid_stat_ipaddr.php?ip=192.168.40.67&netmask32"><U><FONT COLOR="#0000FF" FACE="Times New Roman">192.168.40.67</FONT></U></A><FONT FACE="Times New Roman"> ICMP </FONT>

<BR><FONT FACE="Arial" SIZE=2 COLOR="#000000">
<IMG SRC="No%20AttachName-2" alt="Picture (Metafile)"></FONT><FONT FACE="Arial" SIZE=2 COLOR="#000000">
<IMG SRC="No%20AttachName-3" alt="Picture (Metafile)"></FONT><A HREF="file://acid_qry_alert.php?submit=%239-%282-1426%29&sort_order="><U><FONT COLOR="#0000FF" FACE="Times New Roman">#9-(2-1426)</FONT></U></A><FONT FACE="Times New Roman"> </FONT><FONT SIZE=2 FACE="Times New Roman">[</FONT><A HREF="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-1999-0619"><U><FONT COLOR="#0000FF" SIZE=2 FACE="Times New Roman">cve</FONT></U></A><FONT SIZE=2 FACE="Times New Roman">][</FONT><A HREF="http://icat.nist.gov/icat.cfm?cvename=CAN-1999-0619"><U><FONT COLOR="#0000FF" SIZE=2 FACE="Times New Roman">icat</FONT></U></A><FONT SIZE=2 FACE="Times New Roman">][</FONT><A HREF="http://www.whitehats.com/info/ids08"><U><FONT COLOR="#0000FF" SIZE=2 FACE="Times New Roman">arachnids</FONT></U></A><FONT SIZE=2 FACE="Times New Roman">][</FONT><A HREF="http://www.snort.org/snort-db/sid.html?sid=716"><U><FONT COLOR="#0000FF" SIZE=2 FACE="Times New Roman">snort</FONT></U></A><FONT SIZE=2 FACE="Times New Roman">]</FONT><FONT FACE="Times New Roman"> TELNET access 2002-12-05 18:15:41 </FONT><A HREF="file://acid_stat_ipaddr.php?ip=192.168.40.53&netmask=32"><U><FONT COLOR="#0000FF" FACE="Times New Roman">192.168.40.53</FONT></U></A><FONT SIZE=2 FACE="Times New Roman">:23</FONT><FONT FACE="Times New Roman"> </FONT><A HREF="file://acid_stat_ipaddr.php?ip=10.14.14.182&netmask32"><U><FONT COLOR="#0000FF" FACE="Times New Roman">10.14.14.182</FONT></U></A><FONT SIZE=2 FACE="Times New Roman">:1925</FONT><FONT FACE="Times New Roman"> </FONT>

<BR><FONT SIZE=2 FACE="Arial">Thanks!</FONT>
</P>
<BR>

<P><FONT SIZE=2 FACE="Arial">Jeremy T. Finke</FONT>

<BR><FONT SIZE=2 FACE="Arial">Systems Engineer</FONT>

<BR><FONT SIZE=2 FACE="Arial">Meridian IQ</FONT>
</P>

</BODY>
</HTML>