<html xmlns:ns1="http://schemas.microsoft.com/office/2004/12/omml">

<head>
<META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=us-ascii">
<meta name=Generator content="Microsoft Word 11 (filtered)">
<base href="x-msg://166/">
<style>
<!--a:link
        {mso-style-priority:99;}
span.MSOHYPERLINK
        {mso-style-priority:99;}
a:visited
        {mso-style-priority:99;}
span.MSOHYPERLINKFOLLOWED
        {mso-style-priority:99;}
p.MSOACETATE
        {mso-style-priority:99;}
li.MSOACETATE
        {mso-style-priority:99;}
div.MSOACETATE
        {mso-style-priority:99;}
span.BALLOONTEXTCHAR
        {mso-style-priority:99;}

 /* Font Definitions */
 @font-face
        {font-family:Helvetica;
        panose-1:2 11 6 4 2 2 2 2 2 4;}
@font-face
        {font-family:Tahoma;
        panose-1:2 11 6 4 3 5 4 4 2 4;}
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
 /* Style Definitions */
 p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0in;
        margin-bottom:.0001pt;
        font-size:12.0pt;
        font-family:"Times New Roman";}
a:link, span.MsoHyperlink
        {color:blue;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {color:purple;
        text-decoration:underline;}
p.MsoAcetate, li.MsoAcetate, div.MsoAcetate
        {margin:0in;
        margin-bottom:.0001pt;
        font-size:8.0pt;
        font-family:Tahoma;}
span.BalloonTextChar
        {font-family:Tahoma;}
span.EmailStyle21
        {font-family:Calibri;
        color:#1F497D;}
span.EmailStyle22
        {font-family:Arial;
        color:blue;
        font-weight:normal;
        font-style:normal;
        text-decoration:none none;}
@page Section1
        {size:8.5in 11.0in;
        margin:1.0in 1.0in 1.0in 1.0in;}
div.Section1
        {page:Section1;}
-->
</style>

</head>

<body lang=EN-CA link=blue vlink=purple>

<div class=Section1>

<p class=MsoNormal><font size=2 color=blue face=Arial><span style='font-size:
10.0pt;font-family:Arial;color:blue'>You can do:</span></font></p>

<p class=MsoNormal><font size=2 color=blue face=Arial><span style='font-size:
10.0pt;font-family:Arial;color:blue'> </span></font><font size=2 color="#1f497d"
face=Calibri><span lang=EN-US style='font-size:11.0pt;font-family:Calibri;
color:#1F497D'>HOME_NET [10.215.0.0/16,![10.215.40.0/24]]</span></font></p>

<p class=MsoNormal><font size=2 color=blue face=Arial><span style='font-size:
10.0pt;font-family:Arial;color:blue'> </span></font></p>

<p class=MsoNormal><font size=2 color=blue face=Arial><span style='font-size:
10.0pt;font-family:Arial;color:blue'>but you then can’t do:</span></font></p>

<p class=MsoNormal><font size=2 color="#1f497d" face=Calibri><span lang=EN-US
style='font-size:11.0pt;font-family:Calibri;color:#1F497D'>EXTERNAL_NET
!$HOME_NET</span></font></p>

<p class=MsoNormal><font size=2 color=blue face=Arial><span style='font-size:
10.0pt;font-family:Arial;color:blue'> </span></font></p>

<p class=MsoNormal><font size=2 color=blue face=Arial><span style='font-size:
10.0pt;font-family:Arial;color:blue'>If you set your EXTERNAL_NET to something
besides !$HOME_NET it will work of course.  I never did manage to find a way
around this, and like I mentioned, I had to use multiple configs to treat a
range in the middle of my home_net as external (which actually worked out much
better anyway, since I could have different threshold.conf, rules, etc…)</span></font></p>

<p class=MsoNormal><font size=2 color=blue face=Arial><span style='font-size:
10.0pt;font-family:Arial;color:blue'> </span></font></p>

<p class=MsoNormal><font size=2 color=blue face=Arial><span style='font-size:
10.0pt;font-family:Arial;color:blue'>Maybe there is a way to do it
effectively/easily that I wasn’t told, or could figure out at the time. </span></font></p>

<p class=MsoNormal><font size=2 color=blue face=Arial><span style='font-size:
10.0pt;font-family:Arial;color:blue'> </span></font></p>

<div>

<div class=MsoNormal align=center style='text-align:center'><font size=3
face="Times New Roman"><span lang=EN-US style='font-size:12.0pt'>

<hr size=2 width="100%" align=center tabindex=-1>

</span></font></div>

<p class=MsoNormal><b><font size=2 face=Tahoma><span lang=EN-US
style='font-size:10.0pt;font-family:Tahoma;font-weight:bold'>From:</span></font></b><font
size=2 face=Tahoma><span lang=EN-US style='font-size:10.0pt;font-family:Tahoma'>
Andy Berryman [mailto:aberryman@...14765...] <br>
<b><span style='font-weight:bold'>Sent:</span></b> Friday, September 03, 2010
11:50 AM<br>
<b><span style='font-weight:bold'>To:</span></b> Joel Esler<br>
<b><span style='font-weight:bold'>Cc:</span></b>
snort-users@lists.sourceforge.net<br>
<b><span style='font-weight:bold'>Subject:</span></b> Re: [Snort-users] Snort
home net and external net question</span></font></p>

</div>

<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:
12.0pt'> </span></font></p>

<p class=MsoNormal><font size=2 color="#1f497d" face=Calibri><span lang=EN-US
style='font-size:11.0pt;font-family:Calibri;color:#1F497D'>Now that’s just a
crazy idea. Why would someone RTFM? Much easier to be lazy and ask. </span></font></p>

<p class=MsoNormal><font size=2 color="#1f497d" face=Calibri><span lang=EN-US
style='font-size:11.0pt;font-family:Calibri;color:#1F497D'> </span></font></p>

<p class=MsoNormal><font size=2 color="#1f497d" face=Calibri><span lang=EN-US
style='font-size:11.0pt;font-family:Calibri;color:#1F497D'>/sarcasm aside</span></font></p>

<p class=MsoNormal><font size=2 color="#1f497d" face=Calibri><span lang=EN-US
style='font-size:11.0pt;font-family:Calibri;color:#1F497D'> </span></font></p>

<p class=MsoNormal><font size=2 color="#1f497d" face=Calibri><span lang=EN-US
style='font-size:11.0pt;font-family:Calibri;color:#1F497D'> </span></font></p>

<p class=MsoNormal><font size=2 color="#1f497d" face=Calibri><span lang=EN-US
style='font-size:11.0pt;font-family:Calibri;color:#1F497D'>So, if I’m reading
it right, I need to do something like this:</span></font></p>

<p class=MsoNormal><font size=2 color="#1f497d" face=Calibri><span lang=EN-US
style='font-size:11.0pt;font-family:Calibri;color:#1F497D'> </span></font></p>

<p class=MsoNormal><font size=2 color="#1f497d" face=Calibri><span lang=EN-US
style='font-size:11.0pt;font-family:Calibri;color:#1F497D'>HOME_NET
[10.215.0.0/16,![10.215.40.0/24]]</span></font></p>

<p class=MsoNormal><font size=2 color="#1f497d" face=Calibri><span lang=EN-US
style='font-size:11.0pt;font-family:Calibri;color:#1F497D'>EXTERNAL_NET
!$HOME_NET</span></font></p>

<p class=MsoNormal><font size=2 color="#1f497d" face=Calibri><span lang=EN-US
style='font-size:11.0pt;font-family:Calibri;color:#1F497D'> </span></font></p>

<p class=MsoNormal><font size=2 color="#1f497d" face=Calibri><span lang=EN-US
style='font-size:11.0pt;font-family:Calibri;color:#1F497D'> </span></font></p>

<p class=MsoNormal><font size=2 color="#1f497d" face=Calibri><span lang=EN-US
style='font-size:11.0pt;font-family:Calibri;color:#1F497D'>That would include
all of the 10.215.x.x as the home net except 10.215.40.x would be excluded. So
then the external net !$HOME_NET should work. But it doesn’t. </span></font></p>

<p class=MsoNormal><font size=2 color="#1f497d" face=Calibri><span lang=EN-US
style='font-size:11.0pt;font-family:Calibri;color:#1F497D'> </span></font></p>

<p class=MsoNormal><font size=2 color="#1f497d" face=Calibri><span lang=EN-US
style='font-size:11.0pt;font-family:Calibri;color:#1F497D'>It’s too close to
holiday weekend for me to be thinking like this, brain usage stopped at 5pm
Thursday. </span></font></p>

<p class=MsoNormal><font size=2 color="#1f497d" face=Calibri><span lang=EN-US
style='font-size:11.0pt;font-family:Calibri;color:#1F497D'> </span></font></p>

<p class=MsoNormal><font size=2 color="#1f497d" face=Calibri><span lang=EN-US
style='font-size:11.0pt;font-family:Calibri;color:#1F497D'> </span></font></p>

<div>

<div style='border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0in 0in 0in'>

<p class=MsoNormal><b><font size=2 face=Tahoma><span lang=EN-US
style='font-size:10.0pt;font-family:Tahoma;font-weight:bold'>From:</span></font></b><font
size=2 face=Tahoma><span lang=EN-US style='font-size:10.0pt;font-family:Tahoma'>
Joel Esler [mailto:jesler@...1935...] <br>
<b><span style='font-weight:bold'>Sent:</span></b> Friday, September 03, 2010
12:42 PM<br>
<b><span style='font-weight:bold'>To:</span></b> Andy Berryman<br>
<b><span style='font-weight:bold'>Cc:</span></b>
snort-users@lists.sourceforge.net<br>
<b><span style='font-weight:bold'>Subject:</span></b> Re: [Snort-users] Snort
home net and external net question</span></font></p>

</div>

</div>

<p class=MsoNormal><font size=3 face="Times New Roman"><span lang=EN-US
style='font-size:12.0pt'> </span></font></p>

<p class=MsoNormal><font size=3 face="Times New Roman"><span lang=EN-US
style='font-size:12.0pt'>Check out README.variables in the doc/ directory of
the tarball.</span></font></p>

<div>

<p class=MsoNormal><font size=3 face="Times New Roman"><span lang=EN-US
style='font-size:12.0pt'> </span></font></p>

</div>

<div>

<p class=MsoNormal><font size=3 face="Times New Roman"><span lang=EN-US
style='font-size:12.0pt'> </span></font></p>

<div>

<div>

<p class=MsoNormal><font size=3 face="Times New Roman"><span lang=EN-US
style='font-size:12.0pt'>On Sep 3, 2010, at 1:01 PM, Andy Berryman wrote:</span></font></p>

</div>

<p class=MsoNormal style='margin-bottom:12.0pt'><font size=3
face="Times New Roman"><span lang=EN-US style='font-size:12.0pt'> </span></font></p>

<div>

<div>

<p class=MsoNormal><font size=2 color="#1f497d" face=Calibri><span lang=EN-US
style='font-size:11.0pt;font-family:Calibri;color:#1F497D'>I tried that, but am
getting an error. I’m running 2.8.6.0</span></font></p>

</div>

<div>

<p class=MsoNormal><font size=2 color="#1f497d" face=Calibri><span lang=EN-US
style='font-size:11.0pt;font-family:Calibri;color:#1F497D'> </span></font></p>

</div>

<div>

<p class=MsoNormal><font size=2 color="#1f497d" face=Calibri><span lang=EN-US
style='font-size:11.0pt;font-family:Calibri;color:#1F497D'>Sep  3 16:51:33
(none) snort[18415]: FATAL ERROR: /snort/conf/general.rules(1) Negated IP
ranges that are equal to or are more general than non-negated ranges are not
allowed.  Consider inverting the logic: $EXTERNAL_NET.</span></font></p>

</div>

<div>

<p class=MsoNormal><font size=2 color="#1f497d" face=Calibri><span lang=EN-US
style='font-size:11.0pt;font-family:Calibri;color:#1F497D'> </span></font></p>

</div>

<div>

<p class=MsoNormal><font size=2 color="#1f497d" face=Calibri><span lang=EN-US
style='font-size:11.0pt;font-family:Calibri;color:#1F497D'>var HOME_NET
[10.215.0.0/16]</span></font></p>

</div>

<div>

<p class=MsoNormal><font size=2 color="#1f497d" face=Calibri><span lang=EN-US
style='font-size:11.0pt;font-family:Calibri;color:#1F497D'>var EXTERNAL_NET
[10.215.40.0/24,!$HOME_NET]</span></font></p>

</div>

<div>

<p class=MsoNormal><font size=2 color="#1f497d" face=Calibri><span lang=EN-US
style='font-size:11.0pt;font-family:Calibri;color:#1F497D'> </span></font></p>

</div>

<div>

<p class=MsoNormal><font size=2 color="#1f497d" face=Calibri><span lang=EN-US
style='font-size:11.0pt;font-family:Calibri;color:#1F497D'>Is it b/c my home
net is a /16 and the external net I’m trying to add is a /24?</span></font></p>

</div>

<div>

<p class=MsoNormal><font size=2 color="#1f497d" face=Calibri><span lang=EN-US
style='font-size:11.0pt;font-family:Calibri;color:#1F497D'> </span></font></p>

</div>

<div>

<p class=MsoNormal><font size=2 color="#1f497d" face=Calibri><span lang=EN-US
style='font-size:11.0pt;font-family:Calibri;color:#1F497D'> </span></font></p>

</div>

<div>

<p class=MsoNormal><font size=2 color="#1f497d" face=Calibri><span lang=EN-US
style='font-size:11.0pt;font-family:Calibri;color:#1F497D'>Thanks,</span></font></p>

</div>

<div>

<p class=MsoNormal><font size=2 color="#1f497d" face=Calibri><span lang=EN-US
style='font-size:11.0pt;font-family:Calibri;color:#1F497D'>Andy</span></font></p>

</div>

<div>

<p class=MsoNormal><font size=2 color="#1f497d" face=Calibri><span lang=EN-US
style='font-size:11.0pt;font-family:Calibri;color:#1F497D'> </span></font></p>

</div>

<div>

<p class=MsoNormal><font size=2 color="#1f497d" face=Calibri><span lang=EN-US
style='font-size:11.0pt;font-family:Calibri;color:#1F497D'> </span></font></p>

</div>

<div>

<div style='border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0in 0in 0in;
border-width:initial;border-color:initial'>

<div>

<p class=MsoNormal><b><font size=2 face=Tahoma><span lang=EN-US
style='font-size:10.0pt;font-family:Tahoma;font-weight:bold'>From:</span></font></b><span
class=apple-converted-space><font size=2 face=Tahoma><span lang=EN-US
style='font-size:10.0pt;font-family:Tahoma'> </span></font></span><font
size=2 face=Tahoma><span lang=EN-US style='font-size:10.0pt;font-family:Tahoma'>Joel
Esler [mailto:jesler@...1935...]<span class=apple-converted-space> </span><br>
<b><span style='font-weight:bold'>Sent:</span></b><span
class=apple-converted-space> </span>Friday, September 03, 2010 11:53 AM<br>
<b><span style='font-weight:bold'>To:</span></b><span
class=apple-converted-space> </span>Andy Berryman<br>
<b><span style='font-weight:bold'>Cc:</span></b><span
class=apple-converted-space> </span><a
href="mailto:snort-users@lists.sourceforge.net">snort-users@...4137...orge.net</a><br>
<b><span style='font-weight:bold'>Subject:</span></b><span
class=apple-converted-space> </span>Re: [Snort-users] Snort home net and
external net question</span></font></p>

</div>

</div>

</div>

<div>

<p class=MsoNormal><font size=3 face="Times New Roman"><span lang=EN-US
style='font-size:12.0pt'> </span></font></p>

</div>

<div>

<div>

<div>

<div>

<p class=MsoNormal><font size=3 face="Times New Roman"><span lang=EN-US
style='font-size:12.0pt'>On Sep 3, 2010, at 11:01 AM, Andy Berryman wrote:</span></font></p>

</div>

</div>

<div>

<p class=MsoNormal style='margin-bottom:12.0pt'><font size=3
face="Times New Roman"><span lang=EN-US style='font-size:12.0pt'><br>
<br>
</span></font></p>

</div>

<div>

<div>

<div>

<p class=MsoNormal><font size=2 face=Calibri><span lang=EN-US style='font-size:
11.0pt;font-family:Calibri'>If I have my home net of snort set to:</span></font></p>

</div>

</div>

<div>

<div>

<p class=MsoNormal><font size=2 face=Calibri><span lang=EN-US style='font-size:
11.0pt;font-family:Calibri'> </span></font></p>

</div>

</div>

<div>

<div>

<p class=MsoNormal><font size=2 face=Calibri><span lang=EN-US style='font-size:
11.0pt;font-family:Calibri'>var HOME_NET [10.215.0.0/16]</span></font></p>

</div>

</div>

<div>

<div>

<p class=MsoNormal><font size=2 face=Calibri><span lang=EN-US style='font-size:
11.0pt;font-family:Calibri'> </span></font></p>

</div>

</div>

<div>

<div>

<p class=MsoNormal><font size=2 face=Calibri><span lang=EN-US style='font-size:
11.0pt;font-family:Calibri'>How can I make my external net be !$HOME_NET and
10.215.40.0/24 subnet?</span></font></p>

</div>

</div>

<div>

<div>

<p class=MsoNormal><font size=2 face=Calibri><span lang=EN-US style='font-size:
11.0pt;font-family:Calibri'> </span></font></p>

</div>

</div>

</div>

<div>

<p class=MsoNormal><font size=3 face="Times New Roman"><span lang=EN-US
style='font-size:12.0pt'> </span></font></p>

</div>

</div>

<div>

<div>

<p class=MsoNormal><font size=3 face="Times New Roman"><span lang=EN-US
style='font-size:12.0pt'>With recent versions of Snort, you can do positives
and negatives in the same variable, but the more specific entry needs to come
first.</span></font></p>

</div>

<div>

<div>

<p class=MsoNormal><font size=3 face="Times New Roman"><span lang=EN-US
style='font-size:12.0pt'> </span></font></p>

</div>

</div>

<div>

<div>

<p class=MsoNormal><font size=3 face="Times New Roman"><span lang=EN-US
style='font-size:12.0pt'>var HOME_NET [10.215.0.0/16]</span></font></p>

</div>

</div>

<div>

<div>

<p class=MsoNormal><font size=3 face="Times New Roman"><span lang=EN-US
style='font-size:12.0pt'>var EXTERNAL_NET [10.216.40.0/16,!$HOME_NET]</span></font></p>

</div>

</div>

<div>

<div>

<p class=MsoNormal><font size=3 face="Times New Roman"><span lang=EN-US
style='font-size:12.0pt'> </span></font></p>

</div>

</div>

<div>

<div>

<p class=MsoNormal><font size=3 face="Times New Roman"><span lang=EN-US
style='font-size:12.0pt'>Should work.</span></font></p>

</div>

</div>

<div>

<div>

<p class=MsoNormal><font size=3 face="Times New Roman"><span lang=EN-US
style='font-size:12.0pt'> </span></font></p>

</div>

</div>

<div>

<div>

<p class=MsoNormal><font size=3 face="Times New Roman"><span lang=EN-US
style='font-size:12.0pt'>Joel</span></font></p>

</div>

</div>

</div>

<div>

<p class=MsoNormal><font size=3 face="Times New Roman"><span lang=EN-US
style='font-size:12.0pt'> </span></font></p>

</div>

</div>

<div class=MsoNormal align=center style='text-align:center'><font size=1
face=Arial><span lang=EN-US style='font-size:7.5pt;font-family:Arial'>

<hr size=2 width="100%" align=center>

</span></font></div>

<div>

<p class=MsoNormal><font size=1 face=Arial><span lang=EN-US style='font-size:
7.5pt;font-family:Arial'>This message from Cymtec Systems, Inc. contains
confidential information and is solely for the use of the recipient(s) named
above. If you are not the intended recipient or an agent responsible for
delivering it to the intended recipient, you are hereby notified that you have
received this message in error and that any review, disclosure, copying,
distribution or use of the contents of this message is strictly prohibited. If
you have received this message in error, please destroy it immediately and
notify Cymtec Systems, Inc. by telephone at +1.314.993.8700 or by return
e-mail.</span></font></p>

</div>

<div>

<div class=MsoNormal align=center style='text-align:center'><font size=1
face=Arial><span lang=EN-US style='font-size:7.5pt;font-family:Arial'>

<hr size=2 width="100%" align=center>

</span></font></div>

<p class=MsoNormal><font size=1 face=Arial><span lang=EN-US style='font-size:
7.5pt;font-family:Arial'> </span></font></p>

</div>

</div>

</div>

<p class=MsoNormal><font size=3 face="Times New Roman"><span lang=EN-US
style='font-size:12.0pt'> </span></font></p>

</div>

<div class=MsoNormal align=center style='text-align:center'><font size=1
face=Arial><span lang=EN-US style='font-size:7.5pt;font-family:Arial'>

<hr size=2 width="100%" align=center>

</span></font></div>

<div>

<p class=MsoNormal><font size=1 face=Arial><span lang=EN-US style='font-size:
7.5pt;font-family:Arial'>This message from Cymtec Systems, Inc. contains
confidential information and is solely for the use of the recipient(s) named
above. If you are not the intended recipient or an agent responsible for
delivering it to the intended recipient, you are hereby notified that you have
received this message in error and that any review, disclosure, copying,
distribution or use of the contents of this message is strictly prohibited. If
you have received this message in error, please destroy it immediately and
notify Cymtec Systems, Inc. by telephone at +1.314.993.8700 or by return
e-mail.</span></font></p>

</div>

<div>

<div class=MsoNormal align=center style='text-align:center'><font size=1
face=Arial><span lang=EN-US style='font-size:7.5pt;font-family:Arial'>

<hr size=2 width="100%" align=center>

</span></font></div>

<p class=MsoNormal><font size=1 face=Arial><span lang=EN-US style='font-size:
7.5pt;font-family:Arial'> </span></font></p>

</div>

</div>

</body>

</html>