<div dir="ltr"><div dir="ltr"><div dir="ltr"><div>Hi Slava,</div><div dir="ltr"><br></div><div class="gmail_quote"><div dir="ltr">On Thu, Oct 18, 2018 at 5:58 AM Slava Bendersky <<a href="mailto:volga629@networklab.ca" target="_blank">volga629@networklab.ca</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div><div style="font-family:"lucida console",sans-serif;font-size:12pt;color:rgb(0,0,0)"><div>Hello Everyone,</div><div>Can't figure out how to insert nfq connection mark in  drop rules in /etc/suricata/modify.conf.</div><div>First one works, second incorrect.</div><div>Any help thank you.</div><div><br></div><div><div>re:. ^alert drop</div><div>re:. ";)$" "; nfq_set_mark:0x2\/0xffffffff;)" </div></div></div></div></blockquote><div><br></div><div>In your second line you'll have to escape the ')' as its not part of a regular expression grouping, so this will have it looking like:</div><div><br></div><div>re:. ";\)$" "; nfq_set_mark:0x2\/0xffffffff;)" <br></div><div><br></div><div>Also, in your "to" expression you should not be escaping the "/", this will result in a rule that won't be loaded by Suricata. So what I think you are looking for is:</div><div><br></div><div>re:. ";\)$" "; nfq_set_mark:0x2/0xffffffff;)" <br></div><div><br></div><div>Hope that helps,</div><div>Jason</div></div></div></div></div>