<html><head><meta http-equiv="Content-Type" content="text/html; charset=UTF-8" /></head><body style='font-size: 10pt; font-family: Verdana,Geneva,sans-serif'>
<p>Excellent!</p>
<p>James</p>
<p> </p>
<p>On 2017-06-15 09:10, Jim Campbell wrote:</p>
<blockquote type="cite" style="padding: 0 0.4em; border-left: #1010ff 2px solid; margin: 0"><!-- html ignored --> <!-- head ignored --><!-- meta ignored -->James,<br /> <br /> Thanks for the reply and the pointer to the site. Those instructions would allow me to drop specific rules. What I wanted to do is to drop any packet that alerted, then except specific rules that I want to allow. Something like the inverse of what your site specified. I did some searching on the internet and found the following site:<br /> <br /> <a class="moz-txt-link-freetext" href="https://s3.amazonaws.com/snort-org-site/production/document_files/files/000/000/013/original/Snort_IPS_using_DAQ_AFPacket.pdf">https://s3.amazonaws.com/snort-org-site/production/document_files/files/000/000/013/original/Snort_IPS_using_DAQ_AFPacket.pdf</a><br /> <br /> I realize that my original question specified Pulledpork. I wasn't aware that Snort being properly configured could do IPS all by itself. Snort is now doing what I want it to do.<br /> <br /> Thanks again,<br /> <br /> Jim<br /> <br />
<div class="moz-cite-prefix">On 6/14/2017 9:54 PM, James Lay wrote:</div>
<blockquote type="cite" style="padding: 0 0.4em; border-left: #1010ff 2px solid; margin: 0">
<div>On Wed, 2017-06-14 at 21:42 -0400, Jim Campbell wrote:</div>
<blockquote type="cite" style="padding: 0 0.4em; border-left: #1010ff 2px solid; margin: 0">
<pre>Since I last posted here I ended up formatting my hard drive, installing 
the latest Ubuntu and installing Snort in IPS mode. However, at the end 
of the tutorial on 
<a href="http://sublimerobots.com/2016/02/snort-ips-inline-mode-on-ubuntu/">http://sublimerobots.com/2016/02/snort-ips-inline-mode-on-ubuntu/</a> it 
shows you how to modify the single local rule to drop rather than alert. 
There is mention of a future page that will tell how to have Pulledpork 
automatically modify all the rules to drop.

My setup is running in inline mode but so far hasn't reported any 
packets being flagged. I could sure use some help.

Thanks,

Jim

</pre>
</blockquote>
<div> </div>
<div>Dropsid.conf is where you'll want to look:</div>
<div> </div>
<div><a href="https://github.com/shirkdog/pulledpork/blob/master/etc/dropsid.conf">https://github.com/shirkdog/pulledpork/blob/master/etc/dropsid.conf</a></div>
<div> </div>
<div>James</div>
<br /><fieldset class="mimeAttachmentHeader"></fieldset><br />
<pre>_______________________________________________
Snort-users mailing list
<a class="moz-txt-link-abbreviated" href="mailto:Snort-users@lists.snort.org">Snort-users@lists.snort.org</a>
Go to this URL to change user options or unsubscribe:
<a class="moz-txt-link-freetext" href="https://lists.snort.org/mailman/listinfo/snort-users">https://lists.snort.org/mailman/listinfo/snort-users</a>

Please visit <a class="moz-txt-link-freetext" href="http://blog.snort.org">http://blog.snort.org</a> to stay current on all the latest Snort news!
</pre>
</blockquote>
<br /><!-- html ignored --><br />
<div class="pre" style="margin: 0; padding: 0; font-family: monospace">_______________________________________________<br /> Snort-users mailing list<br /> <a href="mailto:Snort-users@lists.snort.org">Snort-users@lists.snort.org</a><br /> Go to this URL to change user options or unsubscribe:<br /> <a href="https://lists.snort.org/mailman/listinfo/snort-users">https://lists.snort.org/mailman/listinfo/snort-users</a><br /> <br /> Please visit <a href="http://blog.snort.org">http://blog.snort.org</a> to stay current on all the latest Snort news!</div>
</blockquote>
<p> </p>
<div> </div>
</body></html>