<div dir="ltr"><div>I'm trying to use the reject action to send reset packets when using Suricata out of band using a span port to monitor traffic. Running suricata 2.0.5.</div><div><br></div><div>For my testing, I'm using an IP address for an internet webserver. When I create the reject rule, I am seeing the suricata alert. Using packet capture, I am seeing a few reset packets coming to my computer and the website does struggle to load but it eventually does load. When suricata is not running, the website loads instantly and I do not see reset packets.</div><div><br></div><div>Do you have any suggestions fully preventing the connection while out of band? I would really like to avoid going inline. Using drop packets would work better although not an option because the server is out of band.</div><div><p style="color:rgb(72,72,72);font-family:Verdana,sans-serif;font-size:12px">Here is the very basic rule that I'm testing with.</p><blockquote style="font-style:italic;border-left-width:3px;border-left-style:solid;border-left-color:rgb(224,224,224);padding-left:0.6em;margin-left:2.4em;color:rgb(72,72,72);font-family:Verdana,sans-serif;font-size:12px"><p>reject ip [IP Address] any -> any any (msg:"My message"; nocase; classtype:policy-violation; sid:888881; rev:1;)</p></blockquote></div><div><br></div><div>Thanks!</div></div>