
Hi,<br><br>I think i love that new geoip keyword - thank you for the efforts !<br><br>A couple of suggestions/requests if I may:<br><br>1.I agree/like the proposal - but I wonder if it would be possible to include multiples(maybe up to a certain number [32 or something] ) of countries - like:<br>

alert http any any -> any any (msg:"GEOIP: IP located in US/Germany/Canada/France";<b> geoip:src,US,DE,CA,FR</b>; sid:3450002; rev:1;)<br><br>2. As there is - <b>src, dst, both</b> - i think it would be nice if there is also "<b>any</b>" - <br>

alert http any any -> any any (msg:"GEOIP: some traffic to/from the Cayman Islands";<b> geoip:any,KY</b>; sid:3450005; rev:1;)<br>any - meaning either source or destination.<br><br>thanks a bunch!<br><br><div class="gmail_quote">

On Thu, Oct 11, 2012 at 6:42 PM, Victor Julien <span dir="ltr"><<a href="mailto:victor@inliniac.net" target="_blank">victor@inliniac.net</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

<div class="im">On 10/11/2012 06:16 PM, I. Sanchez wrote:<br>

> Hi,<br>

><br>

> I am implementing support for IP address country geolocation in<br>

> Suricata, and I wanted to ask your opinion about the syntax to be used<br>

> for the geoip keyword options.<br>

><br>

> <a href="https://redmine.openinfosecfoundation.org/issues/559" target="_blank">https://redmine.openinfosecfoundation.org/issues/559</a><br>

><br>

> The keyword options would be:<br>

><br>

</div>>   * Country code. ie: US<br>

>   * Match condition: match on source IP, match on destination IP, or<br>

<div class="im">>     match on both.<br>

><br>

> What do you think would be the best syntax for this?<br>

><br>

> Some possibilities:<br>

><br>

</div>>   * geoip:<src|dst|both>,<countrycode>;<br>

>       o alert http any any -> any any (msg:"GEOIP: IP located in<br>

>         US";*geoip:src,US*;sid:3450002;rev:1;)<br>

>   * geoip:<countrycode>,<src|dst|both>;<br>

>       o alert http any any -> any any (msg:"GEOIP: IP located in<br>

>         US";*geoip:US,src*;sid:3450002;rev:1;)<br>

<br>

Thanks for picking this up!<br>

<br>

Doesn't the geoip also allow for other types of data, such as city? I'm<br>

sure that if we have this in Suricata ppl will be interested in buying<br>

the more detailed databases as well.<br>

<span class="HOEnZb"><font color="#888888"><br>

--<br>

---------------------------------------------<br>

Victor Julien<br>

<a href="http://www.inliniac.net/" target="_blank">http://www.inliniac.net/</a><br>

PGP: <a href="http://www.inliniac.net/victorjulien.asc" target="_blank">http://www.inliniac.net/victorjulien.asc</a><br>

---------------------------------------------<br>

</font></span><div class="HOEnZb"><div class="h5"><br>

_______________________________________________<br>

Oisf-devel mailing list<br>

<a href="mailto:Oisf-devel@openinfosecfoundation.org">Oisf-devel@openinfosecfoundation.org</a><br>

<a href="https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-devel" target="_blank">https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-devel</a><br>

</div></div></blockquote></div><br><br clear="all"><br>-- <br><div>Regards,</div>

<div>Peter Manev</div><br>