<div dir="ltr"><div>Hi Erich,<br><br></div>Thanks for the hint, but I'm aware of this. As described, I have it currently set to "alert" so I know if my rule is being fired or not.<br><div><div><div><div class="gmail_extra"><br><div class="gmail_quote">On Mon, Mar 2, 2015 at 3:22 PM, Erich Lerch <span dir="ltr"><<a href="mailto:erich.lerch@gmail.com" target="_blank">erich.lerch@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Claudio,<br>
You'll have to replace "alert" with "pass" to get a PASS rule:<br>
<br>
pass any 144.76.83.23 any -> $EXTERNAL_NET any ...<br>
<br>
Check this page to get more ideas about ignoring certain traffic:<br>
<a href="https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Ignoring_Traffic" target="_blank">https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Ignoring_Traffic</a><br>
<br>
Cheers,<br>
erich<br>
<div><div class="h5"><br>
<br>
2015-03-02 15:09 GMT+01:00 Claudio Kuenzler <<a href="mailto:ck@claudiokuenzler.com">ck@claudiokuenzler.com</a>>:<br>
> Hello all,<br>
><br>
> I'm trying to add my own rule so Nagios' check_http plugin are not creating<br>
> alerts when coming from my fixed Nagios server.<br>
><br>
> Currently the following alerts are logged (in fast.log):<br>
><br>
> 03/02/2015-15:00:27.043197  [**] [1:2013030:3] ET POLICY libwww-perl<br>
> User-Agent [**] [Classification: Attempted Information Leak] [Priority: 2]<br>
> {TCP} <a href="http://144.76.83.23:53905" target="_blank">144.76.83.23:53905</a> -> <a href="http://1.2.3.4:80" target="_blank">1.2.3.4:80</a><br>
><br>
> Where 1.2.3.4 is the destination server I'm monitoring. The SID responsible<br>
> for this alert is the following:<br>
><br>
> alert http $HOME_NET any -> $EXTERNAL_NET any (msg:"ET POLICY libwww-perl<br>
> User-Agent"; flow:established,to_server; content:"User-Agent|3a|<br>
> libwww-perl/"; nocase; http_header;<br>
> reference:url,<a href="http://www.useragentstring.com/pages/useragentstring.php" target="_blank">www.useragentstring.com/pages/useragentstring.php</a>;<br>
> classtype:attempted-recon; sid:2013030; rev:3;)<br>
><br>
> The alert itself is ok, but I don't want to get alerts when this alert is<br>
> triggered from my monitoring server. Therefore I created my own rule which<br>
> hopefully would tell suricata to not alert when coming from my monitoring<br>
> server. As of now I didn't add "pass" as the action but "alert" to see if<br>
> the rule is being fired:<br>
><br>
> alert any 144.76.83.23 any -> $EXTERNAL_NET any (msg:"Monitoring Check";<br>
> flow:established,to_server; priority:1; sid:444888001; rev:3;)<br>
><br>
> Unfortunately nothing happens. SID 2013030 is still being fired when my<br>
> monitoring server runs the check_http.<br>
><br>
> The new rules file was added into suricata.yaml and it is being read. I made<br>
> a typo at the begin and this error was logged in suricata.log when I<br>
> restarted suricata.<br>
> And yes, suricata was restarted.<br>
><br>
> Did I miss something? Did I make a mistake in the rule?<br>
> Is it even possible to overwrite an existing SID the way I want?<br>
><br>
> That's my first manual rule I'm trying to add, so have patience with me ;-)<br>
><br>
</div></div>> _______________________________________________<br>
> Suricata IDS Users mailing list: <a href="mailto:oisf-users@openinfosecfoundation.org">oisf-users@openinfosecfoundation.org</a><br>
> Site: <a href="http://suricata-ids.org" target="_blank">http://suricata-ids.org</a> | Support: <a href="http://suricata-ids.org/support/" target="_blank">http://suricata-ids.org/support/</a><br>
> List: <a href="https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users" target="_blank">https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users</a><br>
> Training now available: <a href="http://suricata-ids.org/training/" target="_blank">http://suricata-ids.org/training/</a><br>
</blockquote></div><br></div></div></div></div></div>