<span><br>On 11/27/2014 7:22 PM, colony.three wrote:<br>
> alert udp $EXTERNAL_NET any <> !192.168.1.7 any (msg:"ET TOR Known Tor<br><br>
i'm not surprised... you've told snort to alert on all udp traffic in either <br>
direction that's not for 192.168.1.7... so all traffic from all other machines <br>
will raise an alert...<br><br>
</span><span><span><br>
Fine.  I -want- traffic on all other machines to raise an alert.</span><span>  <br><br>192.168.1.7 is the only one running TOR traffic and I want that one to shut up.  But it is still alerting on </span>192.168.1.7 only, as I say.  All my other rules are working.  And this one worked for one direction but I can't shut up both directions because it dumps out when it finds a rule match.<br><br>I am stuck on what to do about this.  To
 me, the way I have the rule crafted, I believe should stop alerts both 
directions for 192.168.1.7.  Snort seems to be misbehaving.  But then I only started learning Snort 3 
days ago.<br><br><br><br><br></span>