<div dir="ltr">Is there any reason not to block the IP of this device, instead of the MAC? As far as i know there is no straight forward method to blocking communication based on MAC addr without making a content match of the bytes were the MACs are set in the ethernet frame (if that would work).<div><br></div><div>Also, seeing that this signature should detect something comming from EXTERNAL_NET to HOME_NET and the unit you described seems to be a unit that is on your HOME_NET. Then my question is: have you set your HOME_NET and EXTERNAL_NET variables?</div></div><div class="gmail_extra"><br><div class="gmail_quote">2015-04-28 1:55 GMT+02:00 James Moe <span dir="ltr"><<a href="mailto:jimoe@sohnen-moe.com" target="_blank">jimoe@sohnen-moe.com</a>></span>:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">-----BEGIN PGP SIGNED MESSAGE-----<br>
Hash: SHA1<br>
<br>
Hello,<br>
  suricata 2.0.7<br>
  linux 3.16.7-21-desktop x86_64<br>
<br>
  One of the contributors to fast.log is a VLAN alert. It is a<br>
broadcast emitted every two seconds from our Dish TV receiver. I<br>
decided to modify the rule so that it would ignore packets from that<br>
device.<br>
  Because it is a broadcast (I guess), there is no IP address in the<br>
packets, just the MAC address.<br>
<br>
  How do I rewrite the rule to ignore a particular MAC address?<br>
<br>
  This is the rule slightly modified to somewhat limit its scope:<br>
alert pkthdr [$EXTERNAL_NET] any -> $HOME_NET any (msg:"SURICATA VLAN<br>
unknown type"; decode-event:vlan.unknown_type; sid:2200067; rev:1;)<br>
<br>
- --<br>
James Moe<br>
moe dot james at sohnen-moe dot com<br>
520.743.3936<br>
-----BEGIN PGP SIGNATURE-----<br>
Version: GnuPG v2<br>
<br>
iEYEARECAAYFAlU+zGwACgkQzTcr8Prq0ZNHewCfbJptf+mbiSxo6TT/DaajTrGH<br>
4g4AoKmElYsXDfGws4fdVSfwHhmMb6Hy<br>
=vXI4<br>
-----END PGP SIGNATURE-----<br>
_______________________________________________<br>
Suricata IDS Users mailing list: <a href="mailto:oisf-users@openinfosecfoundation.org">oisf-users@openinfosecfoundation.org</a><br>
Site: <a href="http://suricata-ids.org" target="_blank">http://suricata-ids.org</a> | Support: <a href="http://suricata-ids.org/support/" target="_blank">http://suricata-ids.org/support/</a><br>
List: <a href="https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users" target="_blank">https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users</a><br>
Suricata User Conference November 4 & 5 in Barcelona: <a href="http://oisfevents.net" target="_blank">http://oisfevents.net</a><br>
</blockquote></div><br></div>