<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns="http://www.w3.org/TR/REC-html40">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=us-ascii">
<meta name="Generator" content="Microsoft Word 11 (filtered medium)">
<!--[if !mso]>
<style>
v\:* {behavior:url(#default#VML);}
o\:* {behavior:url(#default#VML);}
w\:* {behavior:url(#default#VML);}
.shape {behavior:url(#default#VML);}
</style>
<![endif]--><style>
<!--
 /* Font Definitions */
 @font-face
        {font-family:Tahoma;
        panose-1:2 11 6 4 3 5 4 4 2 4;}
 /* Style Definitions */
 p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0in;
        margin-bottom:.0001pt;
        font-size:12.0pt;
        font-family:"Times New Roman";}
a:link, span.MsoHyperlink
        {color:blue;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {color:blue;
        text-decoration:underline;}
p.MsoPlainText, li.MsoPlainText, div.MsoPlainText
        {margin:0in;
        margin-bottom:.0001pt;
        font-size:10.0pt;
        font-family:"Courier New";}
pre
        {margin:0in;
        margin-bottom:.0001pt;
        font-size:10.0pt;
        font-family:"Courier New";}
span.CarCar1
        {font-family:"Courier New";}
span.EmailStyle19
        {mso-style-type:personal-reply;
        font-family:Arial;
        color:navy;}
@page Section1
        {size:8.5in 11.0in;
        margin:1.0in 1.25in 1.0in 1.25in;}
div.Section1
        {page:Section1;}
-->
</style>
</head>
<body lang="EN-US" link="blue" vlink="blue">
<div class="Section1">
<p class="MsoNormal"><font size="2" face="Arial"><span style="font-size:10.0pt;
font-family:Arial">I’m going to point you to use Nigel & Joel & JJ’s advice on this one…<o:p></o:p></span></font></p>
<p class="MsoNormal"><font size="2" face="Arial"><span style="font-size:10.0pt;
font-family:Arial"><o:p> </o:p></span></font></p>
<p class="MsoPlainText"><font size="2" face="Arial"><span style="font-size:10.0pt;
font-family:Arial">Furthermore if you want to change some rule from alert to drop, you should disable the rule (I also recommend Pulled Pork for downloading, enabling, disabling,
 etc) and move the rule to your local.rules file with your changes – make sure you give the rule a new sid number and update your sid-msg.map file.  That way, when you download the rule updates you don't overwrite your changes.<o:p></o:p></span></font></p>
<p class="MsoPlainText"><font size="2" face="Arial"><span style="font-size:10.0pt;
font-family:Arial"><o:p> </o:p></span></font></p>
<p class="MsoNormal"><font size="2" face="Arial"><span style="font-size:10.0pt;
font-family:Arial">-Parker<o:p></o:p></span></font></p>
<p class="MsoNormal"><font size="2" color="navy" face="Arial"><span style="font-size:
10.0pt;font-family:Arial;color:navy"><o:p> </o:p></span></font></p>
<div>
<div class="MsoNormal" align="center" style="text-align:center"><font size="3" face="Times New Roman"><span style="font-size:12.0pt">
<hr size="2" width="100%" align="center" tabindex="-1">
</span></font></div>
<p class="MsoNormal"><b><font size="2" face="Tahoma"><span style="font-size:10.0pt;
font-family:Tahoma;font-weight:bold">From:</span></font></b><font size="2" face="Tahoma"><span style="font-size:10.0pt;font-family:Tahoma"> Burks, Doug [mailto:doug.burks@...14446...]
<br>
<b><span style="font-weight:bold">Sent:</span></b> Tuesday, June 15, 2010 3:46 PM<br>
<b><span style="font-weight:bold">To:</span></b> black_angel black_angel; snort-users@lists.sourceforge.net<br>
<b><span style="font-weight:bold">Subject:</span></b> Re: [Snort-users] rules in snort inline</span></font><o:p></o:p></p>
</div>
<p class="MsoNormal"><font size="3" face="Times New Roman"><span style="font-size:
12.0pt"><o:p> </o:p></span></font></p>
<p class="MsoNormal"><font size="2" color="blue" face="Arial"><span style="font-size:
10.0pt;font-family:Arial;color:blue">How about something like this?</span></font><o:p></o:p></p>
<p class="MsoNormal"><font size="3" face="Times New Roman"><span style="font-size:
12.0pt"> <o:p></o:p></span></font></p>
<p class="MsoNormal"><font size="2" color="blue" face="Arial"><span style="font-size:
10.0pt;font-family:Arial;color:blue">sed -i 's|^alert |drop |g'  /etc/snort_inline/rules/*.rules</span></font><o:p></o:p></p>
<p class="MsoNormal"><font size="3" face="Times New Roman"><span style="font-size:
12.0pt"> <o:p></o:p></span></font></p>
<p class="MsoNormal"><font size="2" color="blue" face="Arial"><span style="font-size:
10.0pt;font-family:Arial;color:blue">Regards,</span></font><o:p></o:p></p>
<p class="MsoNormal"><font size="2" color="blue" face="Arial"><span style="font-size:
10.0pt;font-family:Arial;color:blue">--</span></font><o:p></o:p></p>
<p class="MsoNormal"><font size="2" color="blue" face="Arial"><span style="font-size:
10.0pt;font-family:Arial;color:blue">Doug Burks, GPEN, GCIA, GSEC, CISSP<br>
<a href="http://securityonion.blogspot.com">http://securityonion.blogspot.com</a></span></font><o:p></o:p></p>
<p class="MsoNormal"><font size="3" face="Times New Roman"><span style="font-size:
12.0pt"> <o:p></o:p></span></font></p>
<p class="MsoNormal"><font size="3" face="Times New Roman"><span style="font-size:
12.0pt"><o:p> </o:p></span></font></p>
<div class="MsoNormal" align="center" style="text-align:center"><font size="3" face="Times New Roman"><span style="font-size:12.0pt">
<hr size="2" width="100%" align="center" tabindex="-1">
</span></font></div>
<p class="MsoNormal" style="margin-bottom:12.0pt"><b><font size="2" face="Tahoma"><span style="font-size:10.0pt;font-family:Tahoma;font-weight:bold">From:</span></font></b><font size="2" face="Tahoma"><span style="font-size:10.0pt;font-family:Tahoma"> black_angel
 black_angel [mailto:black.sad.angel@...11827...] <br>
<b><span style="font-weight:bold">Sent:</span></b> Tuesday, June 15, 2010 3:34 PM<br>
<b><span style="font-weight:bold">To:</span></b> snort-users@...3054...forge.net<br>
<b><span style="font-weight:bold">Subject:</span></b> [Snort-users] rules in snort inline</span></font><o:p></o:p></p>
<div>
<p class="MsoNormal"><font size="3" face="Times New Roman"><span style="font-size:
12.0pt">hey everybody,<br>
i try to change all the rules for my snort inline from mode "alert" to "drop" i used this script but it doesn't work correctly:</span></font><o:p></o:p></p>
<pre><b><font size="3" color="black" face="Arial"><span lang="EN-GB" style="font-size:
12.0pt;font-family:Arial;color:black;font-weight:bold"><br>
cd /etc/snort_inline/rules/</span></font></b><o:p></o:p></pre>
<pre><b><font size="3" color="black" face="Arial"><span lang="EN-GB" style="font-size:12.0pt;
font-family:Arial;color:black;font-weight:bold">for file in $(ls -1 *.rules)</span></font></b><o:p></o:p></pre>
<pre><b><font size="3" color="black" face="Arial"><span lang="EN-GB" style="font-size:12.0pt;
font-family:Arial;color:black;font-weight:bold">do</span></font></b><o:p></o:p></pre>
<pre><b><font size="3" color="black" face="Arial"><span lang="EN-GB" style="font-size:12.0pt;
font-family:Arial;color:black;font-weight:bold">               sed -e 's:^alert:drop:g' ${file} > ${file}.new</span></font></b><o:p></o:p></pre>
<pre><b><font size="3" color="black" face="Arial"><span lang="EN-GB" style="font-size:12.0pt;
font-family:Arial;color:black;font-weight:bold">               mv ${file}.new ${file} -f</span></font></b><o:p></o:p></pre>
<p class="MsoNormal"><b><font size="3" color="black" face="Arial"><span lang="EN-GB" style="font-size:12.0pt;font-family:Arial;color:black;font-weight:bold">done</span></font></b><br>
if someone have another script or any idea<o:p></o:p></p>
</div>
</div>
</body>
</html>