<div dir="ltr">I have the following rule in place:<div><br></div><div><div>alert ip $HOME_NET any -> any any (msg:"OTX internal host talking to host known in pulse"; flow:to_server; iprep:dst,Pulse,>,30; sid:41414141; rev:1;)</div></div><div><br></div><div>What I would like to is:</div><div><br></div><div>pass ip $HOME_NET any <> any any (msg:"Pass whitelist"; flow:to_server;$mywhitelistiprep:src; sid:12345;)</div><div><br></div><div>What I see is that iprep is a directory containing reputation files. Is there a way I can have a whitelist specific ip reputation file referenced in suricata.yaml? </div><div><br></div><div>Currently I just have the iprep directory and reputation.list file. I do NOT want the content of the reputation.list file used to pass traffic, since I know what is in that is no good. Thanks!</div></div>