<div dir="ltr">In my environment, it appeared that I was able to reproduce the problem. Then, in troubleshooting, I modified the rule in question to remove $HOME_NET and replace with "any" and the rule fires:<br><br>alert http any any -> $EXTERNAL_NET any (msg:"ET MALWARE SearchProtect <snip><br><br>Fatima, this might be worth double checking this in your environment.<br><br>-T<br><br>references:<br>HOME_NET: "[<a href="http://192.168.0.0/16,10.0.0.0/8,172.16.0.0/12">192.168.0.0/16,10.0.0.0/8,172.16.0.0/12</a>]"<br><a href="https://github.com/OISF/suricata/blob/master/suricata.yaml.in#L15">https://github.com/OISF/suricata/blob/master/suricata.yaml.in#L15</a><br><br>ipvar HOME_NET any<br><a href="https://github.com/jasonish/snort/blob/master/etc/snort.conf#L45">https://github.com/jasonish/snort/blob/master/etc/snort.conf#L45</a><br><br><br></div>