<div dir="ltr">Hi,<div><br></div><div>Happy new year to everbody,</div><div><br></div><div>I have a trouble with suricata rule processing order. I'm trying to apply different policies to different users. My rules are as below. But suriacata processes pass first, drop second. So that, the last rule "pass any.." allows to every body.</div><div><br></div><div>Can suricata run my rules as I wrote without reordering ?</div><div><br></div><div>Thanks</div><div><br></div><div><div># Ruleset for userGroup-25</div><div>pass tls any any -> $userGroup-25 any (msg:"SSL Cert Denied"; tls.subject:"<a href="http://example.com">example.com</a>"; sid:3230002; rev:1;)</div><div>pass tls any any -> $userGroup-25 any (msg:"SSL Cert Denied"; tls.subject:"<a href="http://example.net">example.net</a>"; sid:3230004; rev:1;)</div><div>drop tcp any any -> $userGroup-25 any (msg:"Default Drop For userGroup-25"; sid:3230010; rev:1;)</div><div><br></div><div>...</div><div>#Rules for other userGroups</div><div>...</div><div><br></div><div># Ruleset for Others</div><div>drop tls any any -> any any (msg:"SSL Cert Denied"; tls.subject:"<a href="http://example1.com">example1.com</a>"; sid:3230007; rev:1;)</div><div>pass tcp any any -> any any (msg:"Default Pass"; sid:3230010; rev:1;)</div></div></div>