I can confirm the issue as described for Sur 1.0.5 and Git.<br>The rule loads in both cases.<br><br>Thank you<br><br><div class="gmail_quote">On Tue, Oct 4, 2011 at 10:57 PM, rmkml <span dir="ltr"><<a href="mailto:rmkml@yahoo.fr">rmkml@yahoo.fr</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin: 0pt 0pt 0pt 0.8ex; border-left: 1px solid rgb(204, 204, 204); padding-left: 1ex;">Hi,<br>
Anyone check this FN please?:<br>
 alert ip any any -> any any (msg:"test ip proto 1"; ip_proto:219; classtype:non-standard-<u></u>protocol; sid:999991; rev:1;)<br>
Joigned pcap file: ok suricata v105 fire.<br>
<br>
ok next sig contains ip proto negate:<br>
 alert ip any any -> any any (msg:"test ip proto 2"; ip_proto:!1; classtype:non-standard-<u></u>protocol; sid:999992; rev:1;)<br>
on this: suricata v105 not fire (of course, snort fire).<br>
<br>
if you confirm, Im open a new ticket on redmine.<br>
Regards<br><font color="#888888">
Rmkml<br>
<a href="http://twitter.com/rmkml" target="_blank">http://twitter.com/rmkml</a></font><br>_______________________________________________<br>
Oisf-devel mailing list<br>
<a href="mailto:Oisf-devel@openinfosecfoundation.org">Oisf-devel@openinfosecfoundation.org</a><br>
<a href="http://lists.openinfosecfoundation.org/mailman/listinfo/oisf-devel" target="_blank">http://lists.openinfosecfoundation.org/mailman/listinfo/oisf-devel</a><br>
<br></blockquote></div><br><br clear="all"><br>-- <br>Peter Manev<br>