<div dir="ltr"><div><div>Does suricata have any mechanism for filtering packets at the kernel level (iptables), in runtime? <br><br>Let's say a drop was triggered from IP-only module, and all subsequent packets in the stream were automatically dropped. Now, is there a mechanism to insert iptables rules for filtering out future packets of the same type?<br>
<br>The same idea may apply to the case of whitelisted traffic. If we know the signature of benign traffic, then we may in certain cases allow the traffic to bypass suricata via iptables rules.<br><br>It would be nice have this kind of functionality, as it can help reduce the cost of packet acquisition.<br>
<br></div><div>Thanks, Ted<br></div></div></div>