<br><br><div class="gmail_quote">On Wed, Nov 9, 2011 at 8:09 PM, Victor Julien <span dir="ltr"><<a href="mailto:victor@inliniac.net">victor@inliniac.net</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin: 0pt 0pt 0pt 0.8ex; border-left: 1px solid rgb(204, 204, 204); padding-left: 1ex;">
<div class="im">On 11/09/2011 06:58 PM, carlopmart wrote:<br>
> On 11/09/2011 06:44 PM, Peter Manev wrote:<br>
>> Do you mind sharing the pcap?<br>
><br>
> No, here it is:<br>
><br>
<br>
</div>It works for me both with the pcap file and by going to that site. Are<br>
you sure the rule is properly loaded?<br>
<div class="im"><br>
--<br>
---------------------------------------------<br>
Victor Julien<br>
<a href="http://www.inliniac.net/" target="_blank">http://www.inliniac.net/</a><br>
PGP: <a href="http://www.inliniac.net/victorjulien.asc" target="_blank">http://www.inliniac.net/victorjulien.asc</a><br>
---------------------------------------------<br>
<br>
</div><div><div></div><div class="h5">_______________________________________________<br>
Oisf-users mailing list<br>
<a href="mailto:Oisf-users@openinfosecfoundation.org">Oisf-users@openinfosecfoundation.org</a><br>
<a href="http://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users" target="_blank">http://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users</a><br>
</div></div></blockquote></div><br>I just tested it  - <br>it does work while reading a pcap and while replaying it (tcpreplay) on suricata's listening interface.<br>As Victor pointed out:<br>Does the rule load?<br>HOME_NET and EXTERNAL_NET set up correctly?<br>
<br>Thanks<br clear="all"><br>-- <br>Peter Manev<br>