<div dir="ltr">Thank you Victor,<div><br></div><div>I opened a Feature request.</div></div><div class="gmail_extra"><br><div class="gmail_quote">On Tue, Jan 5, 2016 at 3:15 PM, Victor Julien <span dir="ltr"><<a href="mailto:lists@inliniac.net" target="_blank">lists@inliniac.net</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">On 02-01-16 07:24, Özkan KIRIK wrote:<br>
> I have a trouble with suricata rule processing order. I'm trying to<br>
> apply different policies to different users. My rules are as below. But<br>
> suriacata processes pass first, drop second. So that, the last rule<br>
> "pass any.." allows to every body.<br>
><br>
> Can suricata run my rules as I wrote without reordering ?<br>
><br>
> Thanks<br>
><br>
> # Ruleset for userGroup-25<br>
> pass tls any any -> $userGroup-25 any (msg:"SSL Cert Denied";<br>
</span>> tls.subject:"<a href="http://example.com" rel="noreferrer" target="_blank">example.com</a> <<a href="http://example.com" rel="noreferrer" target="_blank">http://example.com</a>>"; sid:3230002; rev:1;)<br>
<span class="">> pass tls any any -> $userGroup-25 any (msg:"SSL Cert Denied";<br>
</span>> tls.subject:"<a href="http://example.net" rel="noreferrer" target="_blank">example.net</a> <<a href="http://example.net" rel="noreferrer" target="_blank">http://example.net</a>>"; sid:3230004; rev:1;)<br>
<span class="">> drop tcp any any -> $userGroup-25 any (msg:"Default Drop For<br>
> userGroup-25"; sid:3230010; rev:1;)<br>
><br>
> ...<br>
> #Rules for other userGroups<br>
> ...<br>
><br>
> # Ruleset for Others<br>
> drop tls any any -> any any (msg:"SSL Cert Denied";<br>
</span>> tls.subject:"<a href="http://example1.com" rel="noreferrer" target="_blank">example1.com</a> <<a href="http://example1.com" rel="noreferrer" target="_blank">http://example1.com</a>>"; sid:3230007; rev:1;)<br>
<span class="">> pass tcp any any -> any any (msg:"Default Pass"; sid:3230010; rev:1;)<br>
><br>
><br>
<br>
</span>A trick to make this work could be to add explicit priorities to the<br>
rules. E.g. priority:1;<br>
<br>
Priority 1 is inspected before 2, 2 before 3, etc.<br>
<br>
Feel free to open a feature request ticket for disabling the ordering<br>
completely.<br>
<span class="HOEnZb"><font color="#888888"><br>
--<br>
---------------------------------------------<br>
Victor Julien<br>
<a href="http://www.inliniac.net/" rel="noreferrer" target="_blank">http://www.inliniac.net/</a><br>
PGP: <a href="http://www.inliniac.net/victorjulien.asc" rel="noreferrer" target="_blank">http://www.inliniac.net/victorjulien.asc</a><br>
---------------------------------------------<br>
</font></span><div class="HOEnZb"><div class="h5"><br>
_______________________________________________<br>
Suricata IDS Users mailing list: <a href="mailto:oisf-users@openinfosecfoundation.org">oisf-users@openinfosecfoundation.org</a><br>
Site: <a href="http://suricata-ids.org" rel="noreferrer" target="_blank">http://suricata-ids.org</a> | Support: <a href="http://suricata-ids.org/support/" rel="noreferrer" target="_blank">http://suricata-ids.org/support/</a><br>
List: <a href="https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users" rel="noreferrer" target="_blank">https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users</a><br>
Suricata User Conference November 4 & 5 in Barcelona: <a href="http://oisfevents.net" rel="noreferrer" target="_blank">http://oisfevents.net</a></div></div></blockquote></div><br></div>