<div dir="ltr">edit: Could I just use a reputation of 2, and say pass anything with <div><br></div><div>iprep:src,whitelist,<,2</div></div><div class="gmail_extra"><br><div class="gmail_quote">On Fri, Oct 27, 2017 at 10:23 AM, erik clark <span dir="ltr"><<a href="mailto:philosnef@gmail.com" target="_blank">philosnef@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">I have the following rule in place:<div><br></div><div><div>alert ip $HOME_NET any -> any any (msg:"OTX internal host talking to host known in pulse"; flow:to_server; iprep:dst,Pulse,>,30; sid:41414141; rev:1;)</div></div><div><br></div><div>What I would like to is:</div><div><br></div><div>pass ip $HOME_NET any <> any any (msg:"Pass whitelist"; flow:to_server;$<wbr>mywhitelistiprep:src; sid:12345;)</div><div><br></div><div>What I see is that iprep is a directory containing reputation files. Is there a way I can have a whitelist specific ip reputation file referenced in suricata.yaml? </div><div><br></div><div>Currently I just have the iprep directory and reputation.list file. I do NOT want the content of the reputation.list file used to pass traffic, since I know what is in that is no good. Thanks!</div></div>
</blockquote></div><br></div>