<p dir="ltr">You are right,  but this is a special case and i cant block telnet :(</p>
<div class="gmail_extra"><br><div class="gmail_quote">On Dec 25, 2016 3:23 PM, "Luke Ager" <<a href="mailto:luke.ager@...14399...">luke.ager@...14399...</a>> wrote:<br type="attribution"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="auto"><div>Since telnet isn't exactly secure my advice would be to block it altogether if possible. <br><br>Sent from my iPhone</div><div><br>On 25 Dec 2016, at 11:23, sepehr hashtroudilar <<a href="mailto:sepehr.ha@...11827..." target="_blank">sepehr.ha@...11827...</a>> wrote:<br><br></div><blockquote type="cite"><div><p dir="ltr">No i cant speak in Chinese. <br>
Let me simplify :</p>
<p dir="ltr">In my situation:<br>
i want to detect and drop telnet cmd (send from client) bofore execution on telnet server.</p>
<p dir="ltr">I want snort:<br>
1. to check the stream and match rules with that.<br>
2.If any rule matched dont send the final packet to server (witch in telnet is always enter \r or 0d) <br>
3.drop connection. </p>
<p dir="ltr">I know that stream5 and ftp/telnet is made for these purpose.</p>
<p dir="ltr">I tried many configuration,  but all the time i get alert after a while. <br>
And Connection drop after cmd executed.</p>
<div class="gmail_extra"><br><div class="gmail_quote">On Dec 25, 2016 2:16 PM, "eagleliujin" <<a href="mailto:eagleliujin@...17712...." target="_blank">eagleliujin@...7427...</a>> wrote:<br type="attribution"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><p dir="ltr">i am sorry,i cant exactly understand you.i dont know your problem.could you please speak chinese?</p>
在 sepehr hashtroudilar <<a href="mailto:sepehr.ha@...11827..." target="_blank">sepehr.ha@...11827...</a>>,2016年12月<wbr>25日 下午4:28写道:<br type="attribution"><blockquote class="m_8674457567983589827m_661963589160548022quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><p></p>Hi, <div>I have problem with telnet commands that user is typing. </div><div>The server to client is ok,  and i successfully get the alert with incoming packets from server, witch i can drop.</div><div>The problem starts with telnet behavior witch sends every character one by one.</div><div>With stream5 i managed to get it work but i get the alert afther cmd executed. </div><div>Witch I want is, to prevent cmd from execution (ips) and drop the packet before is is executed.</div><div><br></div><div>For example: i want every time user try to execute "net user" cmd,  drop the connection before cmd executed on server. </div><div>Is there any configuration for this purpose with stream5 or ftp/telnet processors.  or any other configuration/rule?</div><div>I read entire docs, maybe i cant find!!?</div>

</blockquote></blockquote></div></div>
</div></blockquote><blockquote type="cite"><div><span>------------------------------<wbr>------------------------------<wbr>------------------</span><br><span>Developer Access Program for Intel Xeon Phi Processors</span><br><span>Access to Intel Xeon Phi processor-based developer platforms.</span><br><span>With one year of Intel Parallel Studio XE.</span><br><span>Training and support from Colfax.</span><br><span>Order your platform today.<a href="http://sdm.link/intel" target="_blank">http://sdm.link/intel</a></span></div></blockquote><blockquote type="cite"><div><span>______________________________<wbr>_________________</span><br><span>Snort-users mailing list</span><br><span><a href="mailto:Snort-users@lists.sourceforge.net" target="_blank">Snort-users@...3783...<wbr>net</a></span><br><span>Go to this URL to change user options or unsubscribe:</span><br><span><a href="https://lists.sourceforge.net/lists/listinfo/snort-users" target="_blank">https://lists.sourceforge.net/<wbr>lists/listinfo/snort-users</a></span><br><span>Snort-users list archive:</span><br><span><a href="http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users" target="_blank">http://sourceforge.net/<wbr>mailarchive/forum.php?forum_<wbr>name=snort-users</a></span><br><span></span><br><span>Please visit <a href="http://blog.snort.org" target="_blank">http://blog.snort.org</a> to stay current on all the latest Snort news!</span></div></blockquote></div></blockquote></div></div>