<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 3.2//EN">
<HTML>
<HEAD>
<META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=iso-8859-1">
<META NAME="Generator" CONTENT="MS Exchange Server version 5.5.2653.12">
<TITLE>RE: [Snort-users] A little pass rule help</TITLE>
</HEAD>
<BODY>

<P><FONT SIZE=2>Read up on the "writing rules" Snort docs [0] -- Snort is rather specific in its format for rule writing.  </FONT>
</P>

<P><FONT SIZE=2>Christopher</FONT>
</P>

<P><FONT SIZE=2>[0] <A HREF="http://www.snort.org/docs/writing_rules/" TARGET="_blank">http://www.snort.org/docs/writing_rules/</A></FONT>
</P>
<BR>

<P><FONT SIZE=2>-----Original Message-----</FONT>
<BR><FONT SIZE=2>From: Keg [<A HREF="mailto:snrtlst@...2792...">mailto:snrtlst@...2792...</A>]</FONT>
<BR><FONT SIZE=2>Sent: Tuesday, April 15, 2003 8:17 AM</FONT>
<BR><FONT SIZE=2>To: L. Christopher Luther</FONT>
<BR><FONT SIZE=2>Cc: Snort-Users (E-mail)</FONT>
<BR><FONT SIZE=2>Subject: Re: [Snort-users] A little pass rule help</FONT>
</P>
<BR>

<P><FONT SIZE=2>Would it be possible to use 'pass is <address> any -> <address> </FONT>
<BR><FONT SIZE=2><PROTOCOL>' ?</FONT>
<BR><FONT SIZE=2>I would like not to log traffic originated from specific host only on </FONT>
<BR><FONT SIZE=2>specific protocol....</FONT>
<BR><FONT SIZE=2>Thanks you.</FONT>
</P>

<P><FONT SIZE=2>L. Christopher Luther wrote:</FONT>
</P>

<P><FONT SIZE=2>> 10.0.0.0 is not a valid host IP -- it's a network address.  So if you </FONT>
<BR><FONT SIZE=2>> want to have the 10.0.0.0 network be the destination of the pass rule, </FONT>
<BR><FONT SIZE=2>> then the rule should look something like: </FONT>
<BR><FONT SIZE=2>></FONT>
<BR><FONT SIZE=2>>         pass ip 10.0.30.4 any -> 10.0.0.0/8 any</FONT>
<BR><FONT SIZE=2>></FONT>
<BR><FONT SIZE=2>> The second rule should also include a port designator: </FONT>
<BR><FONT SIZE=2>></FONT>
<BR><FONT SIZE=2>>         pass ip 10.0.20.6 any -> any any</FONT>
<BR><FONT SIZE=2>></FONT>
<BR><FONT SIZE=2>> See if this helps. </FONT>
<BR><FONT SIZE=2>></FONT>
<BR><FONT SIZE=2>> - Christopher</FONT>
<BR><FONT SIZE=2>></FONT>
<BR><FONT SIZE=2>></FONT>
<BR><FONT SIZE=2>> -----Original Message-----</FONT>
<BR><FONT SIZE=2>> From: Keg [<A HREF="mailto:snrtlst@...2792...">mailto:snrtlst@...2792...</A>]</FONT>
<BR><FONT SIZE=2>> Sent: Monday, April 14, 2003 5:14 PM</FONT>
<BR><FONT SIZE=2>> To: snort-users@lists.sourceforge.net</FONT>
<BR><FONT SIZE=2>> Subject: [Snort-users] A little pass rule help</FONT>
<BR><FONT SIZE=2>></FONT>
<BR><FONT SIZE=2>></FONT>
<BR><FONT SIZE=2>> I have 2 pass rules that I placed in local.rules: (snort started with -o)</FONT>
<BR><FONT SIZE=2>> pass ip 10.0.30.4 any -> 10.0.0.0 any</FONT>
<BR><FONT SIZE=2>> pass ip 10.0.20.6 any -> any</FONT>
<BR><FONT SIZE=2>> First should take care of cluster servers broadcasts, second takes care</FONT>
<BR><FONT SIZE=2>> of weird ICMP redirects from Shiva device. Snort cannot be started and</FONT>
<BR><FONT SIZE=2>> it complains about those pass rules, the moment I disable 'em snort is</FONT>
<BR><FONT SIZE=2>> started and it works fine.</FONT>
<BR><FONT SIZE=2>> Is there a syntax problem with those pass rules?</FONT>
<BR><FONT SIZE=2>> Thanks.</FONT>
<BR><FONT SIZE=2>> -- </FONT>
<BR><FONT SIZE=2>> Your favorite stores, helpful shopping tools and great gift ideas.</FONT>
<BR><FONT SIZE=2>> Experience the convenience of buying online with Shop@...2793...!</FONT>
<BR><FONT SIZE=2>> <A HREF="http://shopnow.netscape.com/" TARGET="_blank">http://shopnow.netscape.com/</A></FONT>
<BR><FONT SIZE=2>></FONT>
<BR><FONT SIZE=2>></FONT>
<BR><FONT SIZE=2>></FONT>
<BR><FONT SIZE=2>> -------------------------------------------------------</FONT>
<BR><FONT SIZE=2>> This sf.net email is sponsored by:ThinkGeek</FONT>
<BR><FONT SIZE=2>> Welcome to geek heaven.</FONT>
<BR><FONT SIZE=2>> <A HREF="http://thinkgeek.com/sf" TARGET="_blank">http://thinkgeek.com/sf</A></FONT>
<BR><FONT SIZE=2>> _______________________________________________</FONT>
<BR><FONT SIZE=2>> Snort-users mailing list</FONT>
<BR><FONT SIZE=2>> Snort-users@lists.sourceforge.net</FONT>
<BR><FONT SIZE=2>> Go to this URL to change user options or unsubscribe:</FONT>
<BR><FONT SIZE=2>> <A HREF="https://lists.sourceforge.net/lists/listinfo/snort-users" TARGET="_blank">https://lists.sourceforge.net/lists/listinfo/snort-users</A></FONT>
<BR><FONT SIZE=2>> Snort-users list archive:</FONT>
<BR><FONT SIZE=2>> <A HREF="http://www.geocrawler.com/redir-sf.php3?list=snort-users" TARGET="_blank">http://www.geocrawler.com/redir-sf.php3?list=snort-users</A></FONT>
<BR><FONT SIZE=2>></FONT>
</P>

<P><FONT SIZE=2>-- </FONT>
<BR><FONT SIZE=2>Your favorite stores, helpful shopping tools and great gift ideas. </FONT>
<BR><FONT SIZE=2>Experience the convenience of buying online with Shop@...846....2793...! </FONT>
<BR><FONT SIZE=2><A HREF="http://shopnow.netscape.com/" TARGET="_blank">http://shopnow.netscape.com/</A></FONT>
</P>
<BR>
<BR>
<BR>

<P><FONT SIZE=2>-------------------------------------------------------</FONT>
<BR><FONT SIZE=2>This sf.net email is sponsored by:ThinkGeek</FONT>
<BR><FONT SIZE=2>Welcome to geek heaven.</FONT>
<BR><FONT SIZE=2><A HREF="http://thinkgeek.com/sf" TARGET="_blank">http://thinkgeek.com/sf</A></FONT>
<BR><FONT SIZE=2>_______________________________________________</FONT>
<BR><FONT SIZE=2>Snort-users mailing list</FONT>
<BR><FONT SIZE=2>Snort-users@lists.sourceforge.net</FONT>
<BR><FONT SIZE=2>Go to this URL to change user options or unsubscribe:</FONT>
<BR><FONT SIZE=2><A HREF="https://lists.sourceforge.net/lists/listinfo/snort-users" TARGET="_blank">https://lists.sourceforge.net/lists/listinfo/snort-users</A></FONT>
<BR><FONT SIZE=2>Snort-users list archive:</FONT>
<BR><FONT SIZE=2><A HREF="http://www.geocrawler.com/redir-sf.php3?list=snort-users" TARGET="_blank">http://www.geocrawler.com/redir-sf.php3?list=snort-users</A></FONT>
</P>

</BODY>
</HTML>