<html>
<head>
<style><!--
.hmmessage P
{
margin:0px;
padding:0px
}
body.hmmessage
{
font-size: 12pt;
font-family:Calibri
}
--></style></head>
<body class='hmmessage'><div dir='ltr'><br><div><hr id="stopSpelling">From: miboe60@...125...<br>To: snort-users@lists.sourceforge.net<br>Date: Sun, 26 Apr 2015 12:51:18 +0200<br>Subject: [Snort-users] Pulledpork: preprocessors, ips_policy and snort.conf<br><br>

<style><!--
.ExternalClass .ecxhmmessage P {
padding:0px;
}

.ExternalClass body.ecxhmmessage {
font-size:12pt;
font-family:Calibri;
}

--></style>
<div dir="ltr"><div>Hello</div><div><br><br>How does the pulledpork ips_policy works in conjunction with the snort.conf?</div><div><br></div><div># The best way I understand it is that the policy ties to the policy specification in Snort rules. If you look at the rules' metadata, you will see the policy specification for a given rule. When you run PulledPork specifying the policy using the (-I <security|balanced|connectivity>) switch, it will enable the rules that match the selected policy with the rules metadata policy. </div><div><br>In more detail, does it still make sense to activate preprocessors in my snort.conf, or are they ignored by pulledpork?<br><br># if the preporcessor's stub rules are denoted with the appropriate policy metadata, then PulledPork will enable them according to the chosen policy (security|balanced|connectivity).<br><br>For example, if I activate the arpspoof preprocessor in snort.conf, and then run Pulledpork in 'security' mode, the arpspoof rules are all commented.  Surely, I can activate them through the 'enablesid.conf', but then it would mean that the snort.conf options are ignored?</div><div><br></div><div># See my second comment above. Having the preprocessor not report any output, i.e.: alert, does not mean that the preprocessor is not working. A simpler example in this case is the http_inspect preprocessor. It has its own rules/gid which may not be enabled, however, it is still processing http traffic to be used in text rules, i.e.: http_header, http_uri, etc.<br><br><br>Regards<br></div>                                           </div>
<br>------------------------------------------------------------------------------
One dashboard for servers and applications across Physical-Virtual-Cloud 
Widest out-of-the-box monitoring support with 50+ applications
Performance metrics, stats and reports that give you Actionable Insights
Deep dive visibility with transaction tracing using APM Insight.
http://ad.doubleclick.net/ddm/clk/290420510;117567292;y<br>_______________________________________________
Snort-users mailing list
Snort-users@lists.sourceforge.net
Go to this URL to change user options or unsubscribe:
https://lists.sourceforge.net/lists/listinfo/snort-users
Snort-users list archive:
http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users

Please visit http://blog.snort.org to stay current on all the latest Snort news!</div>                                      </div></body>
</html>