<div dir="ltr"><div>Thanks for your input guys, I managed to get it working today. School boy error a typo in the $RULE_PATH/snort.rules.<br><br></div>Regards<br></div><div class="gmail_extra"><br><div class="gmail_quote">On Tue, Nov 18, 2014 at 7:50 PM, Edwin Smulders <span dir="ltr"><<a href="mailto:edwin.smulders@...16852..." target="_blank">edwin.smulders@...16852...</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">I don't believe it is. The way I understand it, HOME_NET is the space you are protecting. EXTERNAL_NET is the world wide web. Many rules depend on this direction being right. If you write your own rules, it matters less, ofcourse.<br></div><div class="gmail_extra"><br><div class="gmail_quote"><div><div class="h5">On 18 November 2014 20:45, Peggs Randahl <span dir="ltr"><<a href="mailto:Randahl.Peggs@...17031..." target="_blank">Randahl.Peggs@...17031...</a>></span> wrote:<br></div></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div><div class="h5">





<div link="blue" vlink="purple" lang="EN-US">
<div>
<p class="MsoNormal">Most examples I see on the net define HOME_NET in various ways and then define the EXTERNAL_NET as being anything not HOME_NET. 
<u></u><u></u></p>
<p class="MsoNormal"><u></u> <u></u></p>
<p class="MsoNormal">Is it ever appropriate to define both in the opposite way.  For example, specifically define your EXTERNAL_NET as 1 or more external interfaces or internet facing CIDR addresses and then define HOME_NET as being anything that’s not EXTERNAL
<u></u><u></u></p>
<p class="MsoNormal"><u></u> <u></u></p>
<p class="MsoNormal">EXAMPLE:<u></u><u></u></p>
<p class="MsoNormal">ipvar EXTERNAL_NET 205.2xx.xx.X   <u></u><u></u></p>
<p class="MsoNormal">ipvar HOME_NET !$EXTERNAL_NET<u></u><u></u></p>
<p class="MsoNormal"><u></u> <u></u></p>
<p class="MsoNormal">Regards,<u></u><u></u></p>
<table style="width:3.75in" width="450" border="0" cellpadding="0" cellspacing="0">
<tbody>
<tr>
<td style="padding:1.5pt 1.5pt 1.5pt 1.5pt"></td>
</tr>
</tbody>
</table>
<p class="MsoNormal">RJ<u></u><u></u></p>
</div>
<hr>
<span style="font-style:italic;font-size:10.0pt;font-family:"Arial","sans-serif";color:maroon" lang="EN-US">This message and any attachments are intended solely for the addressees and may contain confidential information. Any unauthorized
 use or disclosure, either whole or partial, is prohibited.<br>
E-mails are susceptible to alteration. Our company shall not be liable for the message if altered, changed or falsified. If you are not the intended recipient of this message, please delete it and notify the sender.<br>
Although all reasonable efforts have been made to keep this transmission free from viruses, the sender will not be liable for damages caused by a transmitted virus.</span>
</div>

<br></div></div>------------------------------------------------------------------------------<br>
Download BIRT iHub F-Type - The Free Enterprise-Grade BIRT Server<br>
from Actuate! Instantly Supercharge Your Business Reports and Dashboards<br>
with Interactivity, Sharing, Native Excel Exports, App Integration & more<br>
Get technology previously reserved for billion-dollar corporations, FREE<br>
<a href="http://pubads.g.doubleclick.net/gampad/clk?id=157005751&iu=/4140/ostg.clktrk" target="_blank">http://pubads.g.doubleclick.net/gampad/clk?id=157005751&iu=/4140/ostg.clktrk</a><br>_______________________________________________<br>
Snort-users mailing list<br>
<a href="mailto:Snort-users@lists.sourceforge.net" target="_blank">Snort-users@lists.sourceforge.net</a><br>
Go to this URL to change user options or unsubscribe:<br>
<a href="https://lists.sourceforge.net/lists/listinfo/snort-users" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-users</a><br>
Snort-users list archive:<br>
<a href="http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users" target="_blank">http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users</a><br>
<br>
Please visit <a href="http://blog.snort.org" target="_blank">http://blog.snort.org</a> to stay current on all the latest Snort news!<br></blockquote></div><br></div>
<br>------------------------------------------------------------------------------<br>
Download BIRT iHub F-Type - The Free Enterprise-Grade BIRT Server<br>
from Actuate! Instantly Supercharge Your Business Reports and Dashboards<br>
with Interactivity, Sharing, Native Excel Exports, App Integration & more<br>
Get technology previously reserved for billion-dollar corporations, FREE<br>
<a href="http://pubads.g.doubleclick.net/gampad/clk?id=157005751&iu=/4140/ostg.clktrk" target="_blank">http://pubads.g.doubleclick.net/gampad/clk?id=157005751&iu=/4140/ostg.clktrk</a><br>_______________________________________________<br>
Snort-users mailing list<br>
<a href="mailto:Snort-users@lists.sourceforge.net">Snort-users@...4626...ceforge.net</a><br>
Go to this URL to change user options or unsubscribe:<br>
<a href="https://lists.sourceforge.net/lists/listinfo/snort-users" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-users</a><br>
Snort-users list archive:<br>
<a href="http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users" target="_blank">http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users</a><br>
<br>
Please visit <a href="http://blog.snort.org" target="_blank">http://blog.snort.org</a> to stay current on all the latest Snort news!<br></blockquote></div><br></div>