<div dir="ltr"><div>I have the following ruleset which is supposed to drop all traffic except udp DNS.</div><div>I send traffic to this suricata instance via a divert socket (in FreeBSD).</div><div><br></div><div>pass udp any any -> any any (msg:"Allow DNS"; app-layer-protocol:dns; sid:22710040;)</div><div>pass icmp  any any -> any any (msg:"Allow ICMP"; flow:established; itype:>0; sid:22710041; rev:1;)</div><div>drop ip  any any -> any any (msg:"Illegal traffic."; sid:22710042; rev:1;)</div><div><br></div><div>Suricata drops all dns request traffic with the alert log of the last rule.</div><div><br></div><div>Can you please help me with this issue?</div><div>Thanks in advance.</div></div>