
<div dir="ltr"><br><div class="gmail_extra"><br><br><div class="gmail_quote">On Thu, May 22, 2014 at 3:13 PM, Özkan KIRIK <span dir="ltr"><<a href="mailto:ozkan.kirik@gmail.com" target="_blank">ozkan.kirik@gmail.com</a>></span> wrote:<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div>Hi,</div><div><br></div><div>I am running Suricata 2.0 release inline mode on FreeBSD.</div><div>There is single rule as below:</div>

drop tls any any -> any any (msg:"SSL: <a href="http://vtunnel.com" target="_blank">vtunnel.com</a>"; tls.subject:"<a href="http://vtunnel.com" target="_blank">vtunnel.com</a>"; sid:3230059; rev:1;)<br>


<div><br></div><div>At start, everything is fine. I can see drop events on fast.log.</div><div>After a while ( about 2 minutes ) suricata gives up dropping packets. No packets matches rule altough I tried to connect <a href="http://vtunnel.com" target="_blank">vtunnel.com</a> via https, but all traffic forwarded.</div>


<div><br></div><div>No threshold configured on yaml file.</div><div><br></div><div>How can i debug this problem?</div><div><br></div><div>Best regards,</div></div>

<br>_______________________________________________<br>

Suricata IDS Users mailing list: <a href="mailto:oisf-users@openinfosecfoundation.org">oisf-users@openinfosecfoundation.org</a><br>

Site: <a href="http://suricata-ids.org" target="_blank">http://suricata-ids.org</a> | Support: <a href="http://suricata-ids.org/support/" target="_blank">http://suricata-ids.org/support/</a><br>

List: <a href="https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users" target="_blank">https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users</a><br>

OISF: <a href="http://www.openinfosecfoundation.org/" target="_blank">http://www.openinfosecfoundation.org/</a><br></blockquote></div><br><br><br></div><div class="gmail_extra">Is it possible to reproduce/share the issue with a pcap ?<br>

<br>thanks<br></div><div class="gmail_extra"><br clear="all"><br>-- <br><div>Regards,</div>

<div>Peter Manev</div>

</div></div>