<div dir="ltr"><div><div>This isn't really suricata specific, but more an IPTABLES based thought. If you were running as an IPS inline, you could utilize IPTABLES for "-j ACCEPT" certain country blocks though before sending the remainder to NFQUEUE for inspection.<br><br></div><div>Here's a bit about the iptables part.<br><a href="https://www.cyberciti.biz/faq/block-entier-country-using-iptables/">https://www.cyberciti.biz/faq/block-entier-country-using-iptables/</a><br><br></div><div>Of course if not utilizing nfqueue, this would be moot.<br></div><div>CB<br></div><div><br></div><br><div class="gmail_quote"><div>On Mon, Jul 10, 2017 at 2:09 PM Mesra.net CEO <admin@mesra.my> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
<div>
<div>
<div style="font-size:10pt;font-family:"Arial";color:rgb(0,0,0)">
<div>Dear All,</div>
<div> </div>
<div>How can i whitelist by countries on Suricata, let say i have few rules with 
DROP, i need suricata will ignore or bypass the IP let say from Singapore, so 
how can i use something like geoip module on Suricata?</div>
<div> </div>
<div>Please advice. TQ</div>
<div> </div>
<div> </div></div></div></div>
______________________________<wbr>_________________<br>
Suricata IDS Users mailing list: <a href="mailto:oisf-users@openinfosecfoundation.org" target="_blank">oisf-users@<wbr>openinfosecfoundation.org</a><br>
Site: <a href="http://suricata-ids.org" rel="noreferrer" target="_blank">http://suricata-ids.org</a> | Support: <a href="http://suricata-ids.org/support/" rel="noreferrer" target="_blank">http://suricata-ids.org/<wbr>support/</a><br>
List: <a href="https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users" rel="noreferrer" target="_blank">https://lists.<wbr>openinfosecfoundation.org/<wbr>mailman/listinfo/oisf-users</a><br>
</blockquote></div></div></div>