<div dir="ltr"><div>I have suricata IDPS setting between a Gig-E Dot1q trunk interface on a Cisco switch and a Router running dot1q interfaces like a router on a stick. I set it up in IPS bridge format. I have a bunch of small subnets.<br><br>I would like to do some tuning on my BPF filtering.<br><br>lets say for sake of discussion subnets of concern are:<br><br>When source is VLAN 1(<a href="http://10.200.104.0/25">10.200.104.0/25</a>) destined for VLAN 2 (<a href="http://10.200.104.192/28">10.200.104.192/28</a>)<br><br> I need suricata to not scan that traffic and vice versa.<br><br> When source is VLAN 2 (<a href="http://10.200.104.192/28">10.200.104.192/28</a>) destined for VLAN 1 (<a href="http://10.200.104.0/25">10.200.104.0/25</a>) I need suricata to not scan that traffic.<br><br>Then actually scan all other $HOME_NET traffic.<br><br>VLAN 1:<br>Client / User Subnet<br><br><br>VLAN 2:<br>Server subnet<br><br>I have several other VLANS in the trunk as well, but it's fine that suricata scan's them.<br><br>Please bear in mind all traffic is VLAN tagged. I saw mentions on the pevma blog page of specialized expressions for BPF filtering where VLANs were concerned. I'm looking for some guidance.<br><br><br>I created a 'best guess' filter syntax and I'm sure it's very wrong. <br><br>I'm asking for someone to help me get going in the right direction on this:<br><br>Thanks in advance!!<br>My guess at the filter follows:<br><br>not((src net <a href="http://10.200.104.0/25">10.200.104.0/25</a> and dst net <a href="http://10.200.104.192/28">10.200.104.192/28</a>) or ( src net <a href="http://10.200.104.192/28">10.200.104.192/28</a> and dst net <a href="http://10.200.104.0/25">10.200.104.0/25</a>))<br>    or<br>   (not ((vlan and src net <a href="http://10.200.104.0/25">10.200.104.0/25</a> and dst net <a href="http://10.200.104.192/28">10.200.104.192/28</a>) or (vlan and src net <a href="http://10.200.104.192/28">10.200.104.192/28</a> and dst net <a href="http://10.200.104.0/25)">10.200.104.0/25)</a>))<br><br></div>Ideas?<br></div>