<div dir="ltr">  I'm trying to implement a solution to efficiently integrate a blacklist with thousands of elements in Suricata, blacklist which will contain full URLs - <domain>/<context>/<page>.<div>   Since I do not want to have one rule per link (because of the sheer size) an alternative solution would be to have a single rule using lua to do the heavy lifting - but the problem with lua backed rules is: 1) they can match on only one buffer and 2) there is no access to the host<div><div>  </div><div>   To fix this I have now two rules which communicate with each other using flowvars, one sets the uri and one puts that together w. the host by parsing it out from the request headers.</div><div><br></div></div></div><div>Two questions:</div><div>1) is there a better solution to achieve what I'm looking for (which is full url matching at scale)</div><div>2) if there is not what is the order in which luajit rules are run and is there a way to set the order ? </div><div><br></div><div>From the tests is looks like always (regardless of the position in the rule) the rule matching on uri runs first, follow by the one on request headers.</div><div><br></div><div><br></div><div>Thanks.</div></div>