<html><head><meta http-equiv="Content-Type" content="text/html charset=iso-8859-1"></head><body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; ">Yes, there is an option to make Pulledpork only process locally.  I suggest a quick read of --help when you start pulledpork.<div><br></div><div>Thanks</div><div><br></div><div><div>--</div><div>Joel Esler</div><div>Senior Research Engineer, VRT</div><div>OpenSource Community Manager</div><div>Sourcefire</div><div><br></div><div><div>On Sep 14, 2012, at 9:43 AM, Pratik Narang <<a href="mailto:pratik.cse.bits@...11827...">pratik.cse.bits@...11827...</a>> wrote:</div><br class="Apple-interchange-newline"><blockquote type="cite">Sorry for the trouble guys, the problem is resolved- I did not run PP after making changes to the disablesid file!!<div>But this throws up another problem- I run Snort on a system which receives a netflow (or is it IPFIX?) and hence is not connected to the internet. But whenver PP starts, it tries to connect to the internet to look for new rules. Any suggestions for a work-around for this? It is not vey neat to keep plugging the neighboring system's ethernet cable to connect to the internet and run PP for every single rule I wish to add to enablesid.conf/disablesid.conf etc. Cant I make PP just do these 'local tasks' and not let it check for new rules? :)<br>
<br><div class="gmail_quote">On Fri, Sep 14, 2012 at 7:00 PM, Pratik Narang <span dir="ltr"><<a href="mailto:pratik.cse.bits@...11827..." target="_blank">pratik.cse.bits@...11827...</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
I enabled the 'security' policy via PP and have been getting these kinds of alerts by the dozen :<div><br><div><div>09/14-18:55:28.774651  [**] [1:16282:3] PUA-P2P Bittorrent uTP peer request  [**] [Classification: Potential Corporate Privacy Violation] [Priority: 1] {UDP} <a href="http://172.16.39.102:23943/" target="_blank">172.16.39.102:23943</a> -> <a href="http://172.16.100.107:60294/" target="_blank">172.16.100.107:60294</a></div>

<div>09/14-18:55:28.774654  [**] [1:16282:3] PUA-P2P Bittorrent uTP peer request  [**] [Classification: Potential Corporate Privacy Violation] [Priority: 1] {UDP} 172.16.39.102:23-943 -> <a href="http://172.16.100.107:60294/" target="_blank">172.16.100.107:60294</a></div>

<div>09/14-18:55:28.774656  [**] [1:16282:3] PUA-P2P Bittorrent uTP peer request  [**] [Classification: Potential Corporate Privacy Violation] [Priority: 1] {UDP} <a href="http://172.16.39.102:23943/" target="_blank">172.16.39.102:23943</a> -> <a href="http://172.16.100.107:60294/" target="_blank">172.16.100.107:60294</a></div>

<div>09/14-18:55:28.774692  [**] [1:16282:3] PUA-P2P Bittorrent uTP peer request  [**] [Classification: Potential Corporate Privacy Violation] [Priority: 1] {UDP} <a href="http://172.16.39.102:23943/" target="_blank">172.16.39.102:23943</a> -> <a href="http://172.16.100.107:60294/" target="_blank">172.16.100.107:60294</a></div>

</div><div><br></div><div>I put that sig id into my disablesid.conf, but i continue to get the alerts. What could be wrong here? What is the correct way of putting the sids- 16282, 1:16282, or 1:16282:3 ?</div><div>I also tried putting the category 'VRT-p2p' in disablesid.conf, but no avail :(</div>

</div>
</blockquote></div><br></div>
------------------------------------------------------------------------------<br>Got visibility?<br>Most devs has no idea what their production app looks like.<br>Find out how fast your code is with AppDynamics Lite.<br><a href="http://ad.doubleclick.net/clk;262219671;13503038;y?">http://ad.doubleclick.net/clk;262219671;13503038;y?</a><br>http://info.appdynamics.com/FreeJavaPerformanceDownload.html_______________________________________________<br>Snort-users mailing list<br>Snort-users@lists.sourceforge.net<br>Go to this URL to change user options or unsubscribe:<br>https://lists.sourceforge.net/lists/listinfo/snort-users<br>Snort-users list archive:<br>http://www.geocrawler.com/redir-sf.php3?list=snort-users<br><br>Please visit http://blog.snort.org to stay current on all the latest Snort news!</blockquote></div><br></div></body></html>