I've found that the current SecurityOnion has some serious problems.  It does not even -define-:<br>EXTERNAL_NET<br>HOME_NET<br>HTTP_PORTS<br>... for some reason.  And these are mandatory for the GPL Emerging Threats rules.<br><br>I can't report the problems because SO requires G**gle Groups, and I'm not signing up for that.<br><br>Further, it's looking like the GPL Emerging Threats rules may not be well-written, which are installed by SecurityOnion.<br><br>What is going on with that?<br><br><br><br><span>-------- Original Message --------<br>Subject: Re: [Snort-users] Modifying Rules Works One Direction,  but Not T'Other<br>Time (GMT): Nov 29 2014 15:50:42<br>From: joel.esler@...14399...<br>To: colony.three@...17037...<br>CC: snort-users@lists.sourceforge.net<br><br>How about a “pass udp $EXTERNAL_NET any <> 192.168.1.7 any” rule?<br><br><br>
> On Nov 27, 2014, at 11:00 PM, colony.three  wrote:<br>
> <br>
> <br>
> On 11/27/2014 7:22 PM, colony.three wrote:<br>
> > alert udp $EXTERNAL_NET any <> !192.168.1.7 any (msg:"ET TOR Known Tor<br>
> <br>
> i'm not surprised... you've told snort to alert on all udp traffic in either <br>
> direction that's not for 192.168.1.7... so all traffic from all other machines <br>
> will raise an alert...<br>
> <br>
> <br>
> Fine.  I -want- traffic on all other machines to raise an alert.  <br>
> <br>
> 192.168.1.7 is the only one running TOR traffic and I want that one to shut up.  But it is still alerting on 192.168.1.7 only, as I say.  All my other rules are working.  And this one worked for one direction but I can't shut up both directions because it dumps out when it finds a rule match.<br>
> <br>
> I am stuck on what to do about this.  To me, the way I have the rule crafted, I believe should stop alerts both directions for 192.168.1.7.  Snort seems to be misbehaving.  But then I only started learning Snort 3 days ago.<br>
> <br>
> <br>
> <br>
> <br>
> ------------------------------------------------------------------------------<br>
> Download BIRT iHub F-Type - The Free Enterprise-Grade BIRT Server<br>
> from Actuate! Instantly Supercharge Your Business Reports and Dashboards<br>
> with Interactivity, Sharing, Native Excel Exports, App Integration & more<br>
> Get technology previously reserved for billion-dollar corporations, FREE<br>
> <a href="http://pubads.g.doubleclick.net/gampad/clk?id=157005751&iu=/4140/ostg.clktrk_______________________________________________" rel="nofollow" target="_blank">http://pubads.g.doubleclick.net/gampad/clk?id=157005751&iu=/4140/ostg.clktrk________________________...</a><br>
> Snort-users mailing list<br>
> Snort-users@lists.sourceforge.net<br>
> Go to this URL to change user options or unsubscribe:<br>
> <a href="https://lists.sourceforge.net/lists/listinfo/snort-users" rel="nofollow" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-users</a><br>
> Snort-users list archive:<br>
> <a href="http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users" rel="nofollow" target="_blank">http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users</a><br>
> <br>
> Please visit <a href="http://blog.snort.org" rel="nofollow" target="_blank">http://blog.snort.org</a> to stay current on all the latest Snort news!<br><br><br></span><br>