<div style="line-height:1.7;color:#000000;font-size:14px;font-family:arial">Dear All,<div><br></div><div>I have a little question, if I installed snort on my web server<ipaddress 10.2.11.2> which has only one ethernet interface and snort inspect the interface, does "flow with option established" work or not?</div><div><br></div><div>I have tested the below rule with ----http://10.2.11.2/test.php?user=Zango/Setup.exe, no alert arised.</div><div>alert tcp any any -> $HTTP_SERVERS $HTTP_PORTS (msg:"WEB-CLIENT Zango adware installation request"; content:"Zango/Setup.exe";flow: to_server,established; reference:url,www.ftc.gov/os/caselist/0523130/index.shtm; classtype:policy-violation; sid:10000019; rev:3;)</div><div>appreciate your help~</div><div><br></div><div>Junling Zhao</div></div><br><br><span title="neteasefooter"><span id="netease_mail_footer"></span></span>