<html><head></head><body bgcolor="#ffffff" text="#4c4c4c" link="#8793c1" vlink="#8793c1"><div>Your TCP flow will have a state.  Try flow:established.</div><div><br></div><div>James</div><div><br></div><div>On Wed, 2017-02-15 at 22:23 +0000, Michael J. Sheldon wrote:</div><blockquote type="cite"><pre>I'm testing snort for use filtering DNS traffic. I have it set up using nfq inline

This rule works exactly as expected (drops requests for <a href="http://www.example.com">www.example.com</a>):
drop udp any any -> $HOME_NET $DNS_PORTS (msg:"TEST example.com"; flow:stateless; content:"|03|www|07|example|03|com|00|"; nocase; offset:12; sid:3100001; rev:1;)

This rule also works (alerts for all tcp inbound):
alert tcp any any -> $HOME_NET $DNS_PORTS (msg:"TEST all tcp"; sid:3100003; rev:1;)

This rule does NOT work:
drop tcp any any -> $HOME_NET $DNS_PORTS (msg:"TEST example.com"; flow:stateless; content:"|07|example|03|com|00|"; nocase; offset:12; sid:3100002; rev:1;)

After a LOT of playing with the rules, no matter what, if the protocol is TCP, and there is a "content" parameter at all, the rule will not match. tried variations on flow (stateless, to_server, to_client, etc)

I've got to be missing something incredibly simple, but at this point, no idea what it is.

Michael Sheldon
Dev-DNS Services
GoDaddy.com

------------------------------------------------------------------------------
Check out the vibrant tech community on one of the world's most
engaging tech sites, SlashDot.org! <a href="http://sdm.link/slashdot">http://sdm.link/slashdot</a>
_______________________________________________
Snort-users mailing list
<a href="mailto:Snort-users@lists.sourceforge.net">Snort-users@lists.sourceforge.net</a>
Go to this URL to change user options or unsubscribe:
<a href="https://lists.sourceforge.net/lists/listinfo/snort-users">https://lists.sourceforge.net/lists/listinfo/snort-users</a>
Snort-users list archive:
<a href="http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users">http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users</a>

Please visit <a href="http://blog.snort.org">http://blog.snort.org</a> to stay current on all the latest Snort news!
</pre></blockquote></body></html>