<div dir="ltr">Hi Peter,<div>I think we got this sorted out. It was user error/confusion on my part. There is a difference in the behavior of this rule in Snort vs Suricata (which ET says they are discussing internally) and I mistakenly overlooked the fact that the rule is stateless.</div><div><br></div><div>Jeff</div></div><div class="gmail_extra"><br><div class="gmail_quote">On Wed, Aug 24, 2016 at 6:14 AM, Peter Manev <span dir="ltr"><<a href="mailto:petermanev@gmail.com" target="_blank">petermanev@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="HOEnZb"><div class="h5">On Fri, Aug 19, 2016 at 9:21 PM, Jeff H <<a href="mailto:jeff61225@gmail.com">jeff61225@gmail.com</a>> wrote:<br>
> I recently started running Suricata on the latest version of SELKS.<br>
><br>
> I noticed that I am getting alerts that should only trigger on inbound<br>
> traffic on outbound traffic.<br>
><br>
> The traffic in this example was caused by me entering the IP in a web brower<br>
> to generate this traffic.<br>
><br>
> In this example the IPs in the alert entry are reversed from what I would<br>
> think they should be. They are correct in the flow entry.<br>
><br>
> <a href="http://pastebin.com/3uuFvFwP" rel="noreferrer" target="_blank">http://pastebin.com/3uuFvFwP</a><br>
><br>
> This next alert example is from the same host and it has what I would expect<br>
> the source and destination to be<br>
><br>
> <a href="http://pastebin.com/sQAmCMg8" rel="noreferrer" target="_blank">http://pastebin.com/sQAmCMg8</a><br>
><br>
> Any thoughts on what could be going on here?<br>
<br>
</div></div>Would it be possible to share a pcap that reproduces that case?<br>
<br>
><br>
> ______________________________<wbr>_________________<br>
> Suricata IDS Users mailing list: <a href="mailto:oisf-users@openinfosecfoundation.org">oisf-users@<wbr>openinfosecfoundation.org</a><br>
> Site: <a href="http://suricata-ids.org" rel="noreferrer" target="_blank">http://suricata-ids.org</a> | Support: <a href="http://suricata-ids.org/support/" rel="noreferrer" target="_blank">http://suricata-ids.org/<wbr>support/</a><br>
> List: <a href="https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users" rel="noreferrer" target="_blank">https://lists.<wbr>openinfosecfoundation.org/<wbr>mailman/listinfo/oisf-users</a><br>
> Suricata User Conference November 9-11 in Washington, DC:<br>
> <a href="http://oisfevents.net" rel="noreferrer" target="_blank">http://oisfevents.net</a><br>
<span class="HOEnZb"><font color="#888888"><br>
<br>
<br>
--<br>
Regards,<br>
Peter Manev<br>
</font></span></blockquote></div><br></div>