No, why would say that?  Less of a penalty than a pass rule.<br><br><div class="gmail_quote">On Fri, Oct 24, 2008 at 9:02 AM, Stephen Reese <span dir="ltr"><<a href="mailto:rsreese@...11827...">rsreese@...11827...</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">I would assume there's a pretty large penalty for using suppression?<br>
<br>
<a href="http://www.snort.org/docs/snort_htmanuals/htmanual_260/node24.html" target="_blank">http://www.snort.org/docs/snort_htmanuals/htmanual_260/node24.html</a><br>
<div><div></div><div class="Wj3C7c"><br>
On Fri, Oct 24, 2008 at 7:59 AM, Joel Esler <<a href="mailto:joel.esler@...1935...">joel.esler@...1935...</a>> wrote:<br>
> You should suppression.<br>
><br>
> --<br>
> Joel Esler<br>
> Sent from my iPhone<br>
><br>
> On Oct 24, 2008, at 1:35 AM, "Stephen Reese" <<a href="mailto:rsreese@...11827...">rsreese@...11827...</a>> wrote:<br>
><br>
>> I would like pass echo reply's on the internal network but not all<br>
>> ICMP traffic. Currently my rule passes all of the internal ICMP<br>
>> traffic, it there a way to be specific when creating a pass a rule<br>
>> with ICMP?<br>
>><br>
>> var HOME_NET<br>
>> [<a href="http://172.31.1.0/24,172.31.2.0/24,172.31.3.0/24,172.31.4.0/24,172.31.5.0/24" target="_blank">172.31.1.0/24,172.31.2.0/24,172.31.3.0/24,172.31.4.0/24,172.31.5.0/24</a>]<br>
>><br>
>> #Who cares if internal hosts are pinging each other<br>
>> pass icmp $HOME_NET any -> $HOME_NET any (msg:"ICMP Echo Reply";<br>
>> sid:1000002;)<br>
>><br>
>> Thanks<br>
>><br>
>> On Wed, Oct 22, 2008 at 2:02 PM, Stephen Reese <<a href="mailto:rsreese@...11827...">rsreese@...11827...</a>> wrote:<br>
>>><br>
>>> On Wed, Oct 22, 2008 at 1:32 PM, Joel Esler <<a href="mailto:eslerj@...11827...">eslerj@...11827...</a>> wrote:<br>
>>>><br>
>>>> Your rules have no "sid" keyword in them. You must put an sid number in<br>
>>>> there above 1 million.<br>
>>>> J<br>
>>><br>
>>> Thank you Joel, got it with the following:<br>
>>><br>
>>> #Ignore redirects from the main router<br>
>>> var 3825ROUTER [<a href="http://172.31.1.1/32" target="_blank">172.31.1.1/32</a>]<br>
>>> pass icmp $3825ROUTER any -> $HOME_NET any (msg:"ICMP Destination<br>
>>> Unreachable Protocol Unreachable"; sid:1000000;)<br>
>>><br>
>>> #Chatty Minolta copiers<br>
>>> var DI200 [<a href="http://172.31.1.223/32,172.31.1.240/32" target="_blank">172.31.1.223/32,172.31.1.240/32</a>]<br>
>>> pass icmp $DI200 any -> $3825ROUTER any (msg:"ICMP redirect net";<br>
>>> sid:1000001;)<br>
>>><br>
><br>
</div></div></blockquote></div><br>