<html><head/><body><html><head></head><body>Actually about it, I don't want to blacklist the sites, just get an alert when they are attempted. <br>
<br>
So back to a conf var. <br>
<br>
<br><br><div class="gmail_quote">"Lay, James" <james.lay@...15009...> wrote:<blockquote class="gmail_quote" style="margin: 0pt 0pt 0pt 0.8ex; border-left: 1px solid rgb(204, 204, 204); padding-left: 1ex;">
<pre style="white-space: pre-wrap; word-wrap:break-word; font-family: sans-serif; margin-top: 0px">From: Stephen Mintz [mailto:greybard@...15978...] <br />Sent: Monday, February 25, 2013 1:15 PM<br />To: Lay, James<br />Subject: Re: [Snort-users] Using a var in the conf and local rules<br /><br /><br /><br />Hey James, <br /><br />Thanks for the reply! <br />Not sure either, never done that. <br />I am open for trying anything so I will check into it. <br />If anyone has any advice please reply? <br /><br /><br /><br /><br />"Lay, James" <james.lay@...15009...> wrote:<br /><br />From: honeybadger@...15978... [mailto:honeybadger@...15978...] <br />Sent: Monday, February 25, 2013 10:51 AM<br />To: Snort-users@lists.sourceforge.net<br />Subject: [Snort-users] Using a var in the conf and local rules<br /><br /><br /><br />Hey all, <br /><br />I am adding scanners for 600+ suspect IPs in a text file. <br />Ok adding in include snort.var <br />Adding var IP_RULES<br />Then tcp any any - >
$IP_RULES any (msg:"suspect IP detected; sid 4525;) <br />I would like if the alert would tell me which IP it found. <br />Usually I would use a content but this is different. <br />Any know how to set this up? <br /><br />Thanks, <br /><br /></pre></blockquote></div><br>
-- <br>
Sent from my Android phone with K-9 Mail. Please excuse my brevity.</body></html></body></html>