<P>
  <BR>
Hi there,<BR>
<BR>
I had been sniffing into your mails<BR>
a coincidence, I am stuck at snort.conf and writing of rules<BR>
I wrote a few of them for TCP and ICMP<BR>
the signature table gets updated <BR>
Kindly, please let me know about snort.conf and rules<BR>
and also about multiple sensors<BR>
<BR>
Salil.<BR>
<BR>
<BR>
<BR>
On Thu, 24 Mar 2005 Lee Clemens wrote :<BR>
>That all makes sense, but a serious caveat...what suppress statement<BR>
>wouldn't cause the rule to be pointless? (alert any any <> 10/8 any)<BR>
><BR>
>If the rule says alert when the ip is 10.* and I write a suppress for<BR>
>by_src $HOME_NET and again<BR>
>by_dst $HOME_NET,<BR>
><BR>
>Then any illicit traffic will be suppressed if it is sent to one of my<BR>
>computers or from one of my computers to one of these non-existent<BR>
>(shouldn't be) addresses (exactly what I don't want, and the reason for the<BR>
>rules in the first place).<BR>
><BR>
>Am I overlooking a simple solution for this?<BR>
><BR>
><BR>
>-----Original Message-----<BR>
> From: snort-users-admin@lists.sourceforge.net<BR>
>[mailto:snort-users-admin@lists.sourceforge.net] On Behalf Of Jeremy Hewlett<BR>
>Sent: Wednesday, March 23, 2005 4:52 PM<BR>
>To: snort-users@lists.sourceforge.net<BR>
>Subject: Re: [Snort-users] rules vs. suppress<BR>
><BR>
>On Mon, Mar 21, Lee Clemens wrote:<BR>
> ><BR>
> > But my question is this: Would it have been better to simply write<BR>
>SUPPRESS<BR>
> > rules and specify my network in track by_src and track by_dst, or to keep<BR>
> > these many rules that include every private network except my own.<BR>
><BR>
>By adding these 21 rules, you're increasing the inspection time. Each<BR>
>packet that comes in will be evaluated sequentially against these<BR>
>rules. Suppression is a better choice, it's a simpler execution path,<BR>
>and you're not adding any additional rules.<BR>
><BR>
><BR>
><BR>
><BR>
>-------------------------------------------------------<BR>
>This SF.net email is sponsored by Microsoft Mobile & Embedded DevCon 2005<BR>
>Attend MEDC 2005 May 9-12 in Vegas. Learn more about the latest Windows<BR>
>Embedded(r) & Windows Mobile(tm) platforms, applications & content.<BR>
>Register<BR>
>by 3/29 & save $300 http://ads.osdn.com/?ad_id=6883&alloc_id=15149&op=click<BR>
>_______________________________________________<BR>
>Snort-users mailing list<BR>
>Snort-users@lists.sourceforge.net<BR>
>Go to this URL to change user options or unsubscribe:<BR>
>https://lists.sourceforge.net/lists/listinfo/snort-users<BR>
>Snort-users list archive:<BR>
>http://www.geocrawler.com/redir-sf.php3?list=snort-users<BR>
><BR>
><BR>
><BR>
><BR>
>-------------------------------------------------------<BR>
>This SF.net email is sponsored by Microsoft Mobile & Embedded DevCon 2005<BR>
>Attend MEDC 2005 May 9-12 in Vegas. Learn more about the latest Windows<BR>
>Embedded(r) & Windows Mobile(tm) platforms, applications & content.  Register<BR>
>by 3/29 & save $300 http://ads.osdn.com/?ad_id=6883&alloc_id=15149&op=click<BR>
>_______________________________________________<BR>
>Snort-users mailing list<BR>
>Snort-users@lists.sourceforge.net<BR>
>Go to this URL to change user options or unsubscribe:<BR>
>https://lists.sourceforge.net/lists/listinfo/snort-users<BR>
>Snort-users list archive:<BR>
>http://www.geocrawler.com/redir-sf.php3?list=snort-users<BR>

</P>
<br><br>
<A target="_blank" HREF="http://clients.rediff.com/signature/track_sig.asp"><IMG SRC="http://ads.rediff.com/RealMedia/ads/adstream_nx.cgi/www.rediffmail.com/inbox.htm@...11655..." BORDER=0 VSPACE=0 HSPACE=0></a>