<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML><HEAD>
<META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=iso-8859-1">
<TITLE>Message</TITLE>

<META content="MSHTML 5.50.4926.2500" name=GENERATOR></HEAD>
<BODY>
<DIV><SPAN class=919571121-12052003><FONT color=#0000ff>Jeff,  
</FONT></SPAN></DIV>
<DIV><SPAN class=919571121-12052003><FONT 
color=#0000ff></FONT></SPAN> </DIV>
<DIV><SPAN class=919571121-12052003><FONT color=#0000ff>Try using a BPF filter 
[0] on the Snort command line to limit the traffice seen by Snort.  For 
example:  </FONT></SPAN></DIV>
<DIV><SPAN class=919571121-12052003><FONT 
color=#0000ff></FONT></SPAN> </DIV>
<DIV><SPAN class=919571121-12052003><FONT color=#0000ff>    snort 
[some options] host webserver-ip and net isp-network  </FONT></SPAN></DIV>
<DIV><SPAN class=919571121-12052003><FONT 
color=#0000ff></FONT></SPAN> </DIV>
<DIV><SPAN class=919571121-12052003><FONT color=#0000ff>- Christopher 
</FONT></SPAN></DIV>
<DIV><SPAN class=919571121-12052003><FONT 
color=#0000ff></FONT></SPAN> </DIV>
<DIV><SPAN class=919571121-12052003><FONT 
color=#0000ff></FONT></SPAN> </DIV>
<DIV><SPAN class=919571121-12052003><FONT color=#0000ff>[0] See the "expression" 
section <A 
href="http://www.tcpdump.org/tcpdump_man.html">http://www.tcpdump.org/tcpdump_man.html</A> </FONT></SPAN></DIV>
<BLOCKQUOTE dir=ltr style="MARGIN-RIGHT: 0px">
  <DIV class=OutlookMessageHeader dir=ltr align=left><FONT face=Tahoma 
  size=2>-----Original Message-----<BR><B>From:</B> Jeff Jirka 
  [mailto:jjirka@...2315...]<BR><B>Sent:</B> Wednesday, May 07, 2003 11:21 
  PM<BR><B>To:</B> snort-users@lists.sourceforge.net<BR><B>Subject:</B> 
  [Snort-users] Sniffer Mode<BR><BR></FONT></DIV>
  <DIV><SPAN class=241291203-08052003><FONT face=Arial size=2>My 
  setup...</FONT></SPAN></DIV>
  <DIV><SPAN class=241291203-08052003><FONT face=Arial 
  size=2></FONT></SPAN> </DIV>
  <DIV><SPAN class=241291203-08052003><FONT face=Arial size=2>   - web 
  server sitting on the Internet running Snort v.2.0</FONT></SPAN></DIV>
  <DIV><SPAN class=241291203-08052003><FONT face=Arial size=2>   - 
  this is a DSL circuit</FONT></SPAN></DIV>
  <DIV><SPAN class=241291203-08052003><FONT face=Arial size=2>   - my 
  web server uses a static address</FONT></SPAN></DIV>
  <DIV><SPAN class=241291203-08052003><FONT face=Arial size=2>   - the 
  router to my ISP also has a static address</FONT></SPAN></DIV>
  <DIV><SPAN class=241291203-08052003><FONT face=Arial size=2>   - a 
  firewall to my internal network is also on this segment using another static 
  addresses</FONT></SPAN></DIV>
  <DIV><SPAN class=241291203-08052003><FONT face=Arial 
  size=2></FONT></SPAN> </DIV>
  <DIV><SPAN class=241291203-08052003><FONT face=Arial size=2>I want to capture 
  traffic between the web server and ISP but see everything on the screen 
  for it AND the traffic between my internal network and ISP. I have tried 
  configuring a rules.txt file at least 10 different ways to no avail. Is there 
  some way to only show the traffic on the screen for the web server to ISP 
  conversations?</FONT></SPAN></DIV>
  <DIV><SPAN class=241291203-08052003><FONT face=Arial 
  size=2></FONT></SPAN> </DIV></BLOCKQUOTE></BODY></HTML>