<div dir="ltr">So are all the networks that talk to the internet going to be crossing your sniffing interface that you have behind the firewall?<br><br>If so, then what is the sense in having the inside interface also watch traffic going out to the internet.<br>
<br>Have your third interface set up as your HOME_NET = your internal network, and your EXTERNAL_NET = $HOME_NET.<br><br>So basically you are watching network to network traffic.  Not Network to internet, since you already have an interface to do that.<br>
<br>That way you aren't duplicating alerts.<br><br>Joel<br><br><div class="gmail_quote">On Thu, Oct 9, 2008 at 4:11 PM, Stephen Reese <span dir="ltr"><<a href="mailto:rsreese@...11827...">rsreese@...11827...</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;"><div class="Ih2E3d">> Let me ask. What are your trying to accomplish with the inside span?<br>

> Just watching internal to internal?<br>
<br>
</div>Yes. If someone decides to bring in their Windows ME box to a branch<br>
and plug it in then I would like to see malicious traffic that may be<br>
geared towards the 'main network'. The branch locations have little<br>
support in regards to IT.<br>
<div><div></div><div class="Wj3C7c"><br>
-------------------------------------------------------------------------<br>
This SF.Net email is sponsored by the Moblin Your Move Developer's challenge<br>
Build the coolest Linux based applications with Moblin SDK & win great prizes<br>
Grand prize is a trip for two to an Open Source event anywhere in the world<br>
<a href="http://moblin-contest.org/redirect.php?banner_id=100&url=/" target="_blank">http://moblin-contest.org/redirect.php?banner_id=100&url=/</a><br>
_______________________________________________<br>
Snort-users mailing list<br>
<a href="mailto:Snort-users@lists.sourceforge.net">Snort-users@lists.sourceforge.net</a><br>
Go to this URL to change user options or unsubscribe:<br>
<a href="https://lists.sourceforge.net/lists/listinfo/snort-usersSnort-users" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-users<br>
Snort-users</a> list archive:<br>
<a href="http://www.geocrawler.com/redir-sf.php3?list=snort-users" target="_blank">http://www.geocrawler.com/redir-sf.php3?list=snort-users</a><br>
</div></div></blockquote></div><br><br clear="all"><br>-- <br>Joel Esler<br>  Cell: 706-231-1451<br>  iChat:  eslerjoel<br>[m]<br>
</div>