<html><head><meta http-equiv="Content-Type" content="text/html charset=windows-1252"></head><body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space;"><div><br></div><div>I too have considered using modifysid.conf to change my rules directly to "reject".</div><div><div>However, the syntax in modifysid.conf is different from that used in dropsid.conf.</div></div><div><br></div><div>In dropsid.conf, I named a few categories as well as using the ips-security policy to select rules.</div><div>Where as for modifysid.conf, I need to do <SID> <FROM> <TO>, which does not scale for the rules I am interested.</div><div><br></div><div>thanks,</div><div>alex.</div><div><br></div><br><div><div>On Sep 10, 2014, at 10:30 AM, Y M <<a href="mailto:snort@...979...15979...">snort@...15979...</a>> wrote:</div><br class="Apple-interchange-newline"><blockquote type="cite"><div class="hmmessage" style="font-size: 12pt; font-family: Calibri; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px;"><div dir="ltr"><br><br><div><hr id="stopSpelling">Subject: Re: [Snort-users] Help needed to modify drop rules to reject rules with pulledpork modifysid.conf<br>From:<span class="Apple-converted-space"> </span><a href="mailto:alexcklam@...11827...">alexcklam@...11827...</a><br>Date: Wed, 10 Sep 2014 10:11:57 -0700<br>CC:<span class="Apple-converted-space"> </span><a href="mailto:snort-users@lists.sourceforge.net">snort-users@lists.sourceforge.net</a><br>To:<span class="Apple-converted-space"> </span><a href="mailto:snort@...15979...">snort@...15979...</a><br><br>More inline...<div><blockquote><div class="ecxhmmessage" style="font-size: 12pt; font-family: Calibri; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px;"><div dir="ltr"><div dir="ltr"><blockquote><div class="ecxhmmessage" style="font-size: 12pt; font-family: Calibri; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px;"><div dir="ltr"><div>I tried this line in modifysid.conf </div><div><br></div><div><div style="font-size: 11px; font-family: Menlo;">* "^\s*drop" “reject"</div></div><div style="font-size: 11px; font-family: Menlo;"><br></div><div><div style="font-family: Helvetica; font-size: 12px;">but it did not work even when my pulledpork.conf already has this line:-</div><div style="font-family: Helvetica; font-size: 12px;"><br></div><div style="font-family: Menlo; font-size: 11px;">state_order = enable,drop,modify,disable</div><div style="font-family: Menlo; font-size: 11px;"><br></div><div><span style="font-family: Calibri, sans-serif; font-size: 16px;"># I do not believe that modify is an allowed value for state_order. You probably have already read the comments in pulledpork.conf : "</span># the valid values are disable, drop, and enable.", and hence the reason it may be not running as you are expecting.</div></div></div></div></blockquote><div><br></div><div><ALEX>  I am not sure if “modify” is an allowed value for state_order here. Interestingly, I see modifysid.conf getting processed just before disablesid.conf in my pulledpork log.</div><div><br></div><div>## That's because PulledPork processes modifysid before anything else, see below (Bug #82 ...).</div><br><blockquote><div class="ecxhmmessage" style="font-size: 12pt; font-family: Calibri; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px;"><div dir="ltr"><div># In the changes document, there is this: "<span style="font-family: Monaco, 'DejaVu Sans Mono', 'Bitstream Vera Sans Mono', 'Lucida Console', monospace; font-size: 12px; white-space: pre; background-color: rgb(255, 255, 255);">Bug #82 - Modified run order to force modifysid to run before all other sid state modification routines</span><span style="font-size: 12pt;">".  So,  in your modifysid.conf you are changing from "drop" to "reject", however,  since modifysid is run first, then there will be no changes since the the rules tarball does not ship with "drop" state. In other words, PulledPork does not find anything to change.</span></div><div style="font-family: Menlo; font-size: 11px;"><br></div></div></div></blockquote><div><br></div><div><ALEX> Yes, that’s possible. It seems like modify is done twice - once before enablesid.conf, once after dropsid.conf. I suspect rules that get are enabled from dropsid.conf failed to match the “\s*drop” regex.</div><div><br></div><div>## I do not see this in my logs. Probably it is because you have explicitly added the "modify" to the state_order. That said, logically speaking, PulledPork processes the rule from the original rules tarball. If the state_order change you have made causes PulledPork to run "modify" again after "disabled", it would still not find anything to change since the rules ship with the "alert" action.</div></div></div></div></blockquote><div><br></div><div><br></div><div><ALEX> Yes, that's goes back to my original query -- when PulledPork process those XXXXsid.conf files, does it base on rule state in tarball? Or the running rule state based on the output from the processed XXXXsid.conf file.</div><div>The fact that README file mentioned "precedence", I assume it's baed on the latter.</div><div><br></div>### Correct. However, PulledPork starts with rules having the rule action of "alert", that's why the initial "modify" does not actually change anything, since you are specifying to change the action from "drop" which does not exist.<br><blockquote><div class="ecxhmmessage" style="font-size: 12pt; font-family: Calibri; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px;"><div dir="ltr"><div dir="ltr"><div><br></div><br><blockquote><div class="ecxhmmessage" style="font-size: 12pt; font-family: Calibri; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px;"><div dir="ltr"><div style="font-family: Menlo; font-size: 11px;"><br></div><div style="font-family: Menlo; font-size: 11px;">Here are extracts from my pulledpork run log:</div><div style="font-family: Menlo; font-size: 11px;"><br></div><div style="font-family: Menlo; font-size: 11px;">Modifying Sids....</div><div style="font-family: Menlo; font-size: 11px;"><div><span class="ecxApple-tab-span" style="white-space: pre;">       </span>Modifying ALL SIDS from:^\s*drop to:reject</div><div><span class="ecxApple-tab-span" style="white-space: pre;">      </span>Done!</div><div>Processing /root/pulledpork-0.7.0/etc/enablesid.conf....</div><div><span class="ecxApple-tab-span" style="white-space: pre;">    </span>Enabled 1:2005283</div><div><span class="ecxApple-tab-span" style="white-space: pre;">       </span>Enabled 1:2010514</div></div><div style="font-family: Menlo; font-size: 11px;"><br></div><div style="font-family: Menlo; font-size: 11px;"><snip></div><div style="font-family: Menlo; font-size: 11px;"><br></div><div style="font-family: Menlo; font-size: 11px;"><div><span class="ecxApple-tab-span" style="white-space: pre;">       </span>Will drop 124:8</div><div><span class="ecxApple-tab-span" style="white-space: pre;"> </span>Will drop 131:3</div><div><span class="ecxApple-tab-span" style="white-space: pre;"> </span>Modified 12783 rules</div><div><span class="ecxApple-tab-span" style="white-space: pre;">    </span>Done</div><div>Processing /root/pulledpork-0.7.0/etc/modifysid.conf....</div><div><span class="ecxApple-tab-span" style="white-space: pre;">     </span>Modified 0 rules</div><div><span class="ecxApple-tab-span" style="white-space: pre;">        </span>Done</div><div>Processing /root/pulledpork-0.7.0/etc/disablesid.conf....</div></div><div style="font-family: Menlo; font-size: 11px;"><br></div><div style="font-family: Menlo; font-size: 11px;"><snip></div><div style="font-family: Menlo; font-size: 11px;"><br></div><div style="font-family: Menlo; font-size: 11px;">Any ideas how I can turn dropsid.conf-enabled rules from “drop” to “reject”??</div><div style="font-family: Menlo; font-size: 11px;"><br></div><div style="font-family: Menlo; font-size: 11px;"><span style="font-family: Calibri, sans-serif; font-size: 16px;"># An idea would be to create a backup of your disablesid.conf, and then start with a fresh/empty disablesid.conf, then in your modifysid.conf just modify "alert" to "reject".</span></div></div></div></blockquote><div><br></div><div><ALEX> Sorry. I lost your logic here. Why would a fresh disablesid.conf help?</div><div><br></div><div>## From what I understood from your original post, you want to change the action from "drop" to "reject", correct? If so, and since PulledPork is not finding any rules with "drop" action from the original tarball, simply add the modifications into modifysid.conf. If you keep sids in dropsid.conf, then the respective rules will change to drop, since "drop" happens after the "modify" stage. I hope this makes since :) </div></div></div></div></blockquote><div><br></div><div><ALEX> Ideally, pulledport supports "rejectsid.conf" and I will move all my "dropsid.conf" rules to it. However, it does not. So I am faking it by selecting my rules in "dropsid.conf" followed by "modifysid.conf" to convert them to "reject".</div><div><br></div><div>### Why not change the rule action from "alert" to "reject" immediately at the first "modify", instead of changing "alert" to "drop" to "reject", saving you an additional layer of processing?</div><br><blockquote><div class="ecxhmmessage" style="font-size: 12pt; font-family: Calibri; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px;"><div dir="ltr"><div dir="ltr"><br><blockquote><div class="ecxhmmessage" style="font-size: 12pt; font-family: Calibri; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px;"><div dir="ltr"><div><div style="font-family: Menlo; font-size: 11px;">Thanks</div><div style="font-family: Menlo; font-size: 11px;">alex</div></div><div><br></div><div><br></div><br>------------------------------------------------------------------------------ Want excitement? Manually upgrade your production database. When you want reliability, choose Perforce Perforce version control. Predictably reliable.<a href="http://pubads.g.doubleclick.net/gampad/clk?id=157508191&iu=/4140/ostg.clktrk" target="_blank">http://pubads.g.doubleclick.net/gampad/clk?id=157508191&iu=/4140/ostg.clktrk</a><br>_______________________________________________ Snort-users mailing list<span class="ecxApple-converted-space"> </span><a href="mailto:Snort-users@lists.sourceforge.net">Snort-users@lists.sourceforge.net</a>Go to this URL to change user options or unsubscribe:<span class="ecxApple-converted-space"> </span><a href="https://lists.sourceforge.net/lists/listinfo/snort-users" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-users</a><span class="ecxApple-converted-space"> </span>Snort-users list archive:<span class="ecxApple-converted-space"> </span><a href="http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users" target="_blank">http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users</a><span class="ecxApple-converted-space"> </span>Please visit<a href="http://blog.snort.org/" target="_blank">http://blog.snort.org</a><span class="ecxApple-converted-space"> </span>to stay current on all the latest Snort news!</div></div></blockquote></div></div></div></blockquote></div></div></div></div></blockquote></div><br></body></html>