My vote goes to <match on>,<condition><div>So, alert http any any -> any any (msg:"GEOIP: IP located in US";<b>geoip:src,US</b>;sid:3450002;rev:1;)<br><br><div class="gmail_quote">On Thu, Oct 11, 2012 at 12:16 PM, I. Sanchez <span dir="ltr"><<a href="mailto:sanchezmartin.ji@gmail.com" target="_blank">sanchezmartin.ji@gmail.com</a>></span> wrote:<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hi,<br><br>I am implementing support for IP address country geolocation in Suricata, and I wanted to ask your opinion about the syntax to be used for the geoip keyword options.<br>

<br><div style="margin-left:40px"><a href="https://redmine.openinfosecfoundation.org/issues/559" target="_blank">https://redmine.openinfosecfoundation.org/issues/559</a><br>
</div><br>The keyword options would be:<br><ul><li>Country code. ie: US</li><li>Match condition: match on source IP, match on destination IP, or match on both.</li></ul>
What do you think would be the best syntax for this?<br><br>Some possibilities:<br><ul><li>geoip:<src|dst|both>,<countrycode>;</li><ul><li>alert http any any -> any any (msg:"GEOIP: IP located in US";<b>geoip:src,US</b>;sid:3450002;rev:1;)<br>


</li></ul><li>geoip:<countrycode>,<src|dst|both>;</li><ul><li>alert http any any -> any any (msg:"GEOIP: IP located in US";<b>geoip:US,src</b>;sid:3450002;rev:1;)</li></ul></ul><br>Regards,<br><br>


  I. Sanchez<br><br><br>
<br>_______________________________________________<br>
Oisf-devel mailing list<br>
<a href="mailto:Oisf-devel@openinfosecfoundation.org">Oisf-devel@openinfosecfoundation.org</a><br>
<a href="https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-devel" target="_blank">https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-devel</a><br></blockquote></div><br></div>