Hi Nikolay,<br><br>Can you please post an example of a rule of yours? <br><br>Thanks<br><br><div class="gmail_quote">On Fri, Sep 16, 2011 at 11:32 AM, Nikolay Denev <span dir="ltr"><<a href="mailto:ndenev@gmail.com">ndenev@gmail.com</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin: 0pt 0pt 0pt 0.8ex; border-left: 1px solid rgb(204, 204, 204); padding-left: 1ex;">Hello all,<br>
<br>
I'm trying to install a few "pass" rules with "priority 1" as a whitelisting rules in "local.rules",<br>
they are read ok, but they don't seem to work, and I start to wonder If I'm missing something.<br>
<br>
My understanding is that if my rules in local.rules match, no further checking will be done on this packet/flow.<br>
Can someone confirm that this is correct? Or is there another way to accomplish this.<br>
Basically I want to preserve for example the shell code rules that are working on any port src/dest, but I have traffic<br>
for an internal service that gives too many false positives, so I want to create a rule (basically the same shell code rule that get's triggered) but<br>
modify it for the specific port of the service and change it from "alert" to "pass" and raise the priority.<br>
<br>
Thanks in advance.<br>
<br>
Regards,<br>
Nikolay<br>
_______________________________________________<br>
Oisf-users mailing list<br>
<a href="mailto:Oisf-users@openinfosecfoundation.org">Oisf-users@openinfosecfoundation.org</a><br>
<a href="http://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users" target="_blank">http://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users</a><br>
</blockquote></div><br><br clear="all"><br>-- <br>Peter Manev<br>