<div dir="ltr">Great. BTW the new TLS buffers work great! Here's an example of a working sample Lua script used to test the new functionality:<div><br></div><div>Suricata Rule:</div><div>##############<br></div><div>reject tls $EXTERNAL_NET any -> $HOME_NET any (msg:"HTTPS SPORTS - DROPPED"; flow:established; luajit:bl_sports_https.lua; sid:10001008; rev:1;)<br></div><div>##############<br></div><div>Lua Script: (<span style="line-height:1.5">bl_sports_https.lua)</span></div><div><div>##############</div><div>function init (args)</div><div>    local needs = {}</div><div>    needs["tls.subject"] = tostring(true)</div><div>    return needs</div><div>end</div><div><br></div><div>function match(args)</div><div>        file = assert(io.open("blacklists/sports/domains", "r"))</div><div>        current_url = tostring(args["tls.subject"])</div><div>        if #current_url > 0 then</div><div>                for line in file:lines() do</div><div>                        if current_url:find(line) then</div><div>                                return 1</div><div>                        end</div><div>                end</div><div>        end</div><div>return 0</div><div>end</div></div><div>##############</div><div><br></div><div>NOTE: the "blacklists/sports/domains" file is just a flat text file containing all the pages we wish to block in this test.</div><div><br></div><div>Regards,</div><div>Nasir</div></div><br><div class="gmail_quote"><div dir="ltr">On Tue, Dec 29, 2015 at 12:40 PM Jason Ish <<a href="mailto:lists@unx.ca">lists@unx.ca</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">On Tue, Dec 29, 2015 at 10:58 AM, Nasir Bilal <<a href="mailto:bilalbox@gmail.com" target="_blank">bilalbox@gmail.com</a>> wrote:<br>
> Jason,<br>
><br>
> Thanks, that's great! Yes, we should update the documentation. Is that<br>
> something anybody can do?<br>
<br>
Yes, I believe you just need an account on Redmine.  The docs are<br>
migrating to Sphinx and updates will be handled with pull requests at<br>
some point in the hopefully near future. But for now I have a "watch"<br>
on the Wiki to migrate changes made by others.<br>
<br>
Jason<br>
</blockquote></div>