<div dir="ltr"><div><div>Yes, it does make sense. I have the same Snort configuration as you.<br><br></div>But if I scan my PUBLIC IP address?<br><br></div>Teo En Ming<br></div><div class="gmail_extra"><br><br><div class="gmail_quote">
On Tue, Apr 8, 2014 at 5:53 AM, James Lay <span dir="ltr"><<a href="mailto:jlay@...13475..." target="_blank">jlay@...13475...</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<div class="">On 2014-04-07 15:40, Teo En Ming wrote:<br>
> But alerts are not showing up when I ran nessus against my home<br>
> network. Sigh.<br>
><br>
> Teo En Ming<br>
<br>
</div>Teo,<br>
<br>
I think most first time users of snort fall into this as well.  Look at<br>
your HOME_NET and EXTERNAL_NET.  Mine are:<br>
<br>
ipvar HOME_NET <a href="http://192.168.1.0/24" target="_blank">192.168.1.0/24</a><br>
ipvar EXTERNAL_NET !$HOME_NET<br>
<br>
This says "home_net is my ip addresses, external_net is everything<br>
that's NOT my addresses".<br>
<br>
Now look at almost any snort rule:<br>
<br>
alert tcp $EXTERNAL_NET $HTTP_PORTS -> $HOME_NET any (msg:"......<br>
<br>
<br>
This says "alert if an external_net on any http_ports comes into my<br>
home_net on any port".<br>
<br>
So if you're scanning anything IN HOME_NET TO HOME_NET, nothing will<br>
fire.  Does that make sense?<br>
<div class="HOEnZb"><div class="h5"><br>
James<br>
<br>
------------------------------------------------------------------------------<br>
Put Bad Developers to Shame<br>
Dominate Development with Jenkins Continuous Integration<br>
Continuously Automate Build, Test & Deployment<br>
Start a new project now. Try Jenkins in the cloud.<br>
<a href="http://p.sf.net/sfu/13600_Cloudbees" target="_blank">http://p.sf.net/sfu/13600_Cloudbees</a><br>
_______________________________________________<br>
Snort-users mailing list<br>
<a href="mailto:Snort-users@lists.sourceforge.net">Snort-users@...4626...ceforge.net</a><br>
Go to this URL to change user options or unsubscribe:<br>
<a href="https://lists.sourceforge.net/lists/listinfo/snort-users" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-users</a><br>
Snort-users list archive:<br>
<a href="http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users" target="_blank">http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users</a><br>
<br>
Please visit <a href="http://blog.snort.org" target="_blank">http://blog.snort.org</a> to stay current on all the latest Snort news!<br>
</div></div></blockquote></div><br></div>