<html>

<head>
<META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=us-ascii">


<meta name=Generator content="Microsoft Word 10 (filtered)">

<style>
<!--
 /* Style Definitions */
 p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin-top:0in;
        margin-right:0in;
        margin-bottom:6.0pt;
        margin-left:0in;
        font-size:14.0pt;
        font-family:Arial;}
a:link, span.MsoHyperlink
        {color:blue;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {color:purple;
        text-decoration:underline;}
span.EmailStyle17
        {font-family:Arial;
        color:windowtext;
        font-weight:normal;
        font-style:normal;
        text-decoration:none none;}
@page Section1
        {size:8.5in 11.0in;
        margin:1.0in 1.0in 1.0in 1.0in;}
div.Section1
        {page:Section1;}
-->
</style>

</head>

<body lang=EN-US link=blue vlink=purple>

<div class=Section1>

<p class=MsoNormal><font size=2 face=Arial><span style='font-size:11.0pt'>Thanx
to everyone who’s been answering my ignorant questions about snort these
last few days. I think I’ve finally figured out the basics of how to get
snort and barnyard to play together. In fact, I’m wondering if there
would be some value in me writing up my notes as kind of a “newbie’s
notes on snort”? I’d be happy to take a crack at that, just let me
know who/where to send it to.</span></font></p>

<p class=MsoNormal><font size=2 face=Arial><span style='font-size:11.0pt'>Regarding
creating rules, I would like to use snort to log every packet hitting the external
interface on my multi-homed firewall/router. I don’t plan on doing this
long-term, but having just been hacked (through a firewall, I might add), I
thought it would be educational to see just how much crap is hitting my firewall.</span></font></p>

<p class=MsoNormal><font size=2 face=Arial><span style='font-size:11.0pt'>However,
I’d like to avoid logging packets that are coming back at me as a result
of a request from one of my private LAN clients (e.g., someone browsing the web
on a client machine). From reading the snort pdf, I think the way to do this is
to build two rules, one that uses flow to drop any packet hitting the external
interface that results from a client request (i.e., to_client | from_client), followed
by one that logs everything remaining.</span></font></p>

<p class=MsoNormal><font size=2 face=Arial><span style='font-size:11.0pt'>Is
that the way to go? If not, what would work?</span></font></p>

<p class=MsoNormal><font size=2 face=Arial><span style='font-size:11.0pt'>Thanx
in advance for any help or advice!</span></font></p>

<p class=MsoNormal><font size=4 color=green face=Arial><span style='font-size:
14.0pt;color:green'>- Mark</span></font></p>

<p class=MsoNormal><font size=4 color=green face=Arial><span style='font-size:
14.0pt;color:green'>mark@...11252...</span></font></p>

<p class=MsoNormal><font size=4 face=Arial> </font></p>

</div>

</body>

</html>