<div dir="ltr"><div class="gmail_quote"><div dir="ltr">On Fri, Oct 19, 2018 at 10:44 AM Slava Bendersky <<a href="mailto:volga629@networklab.ca">volga629@networklab.ca</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div><div style="font-family:lucida console,sans-serif;font-size:12pt;color:#000000"><div>Hello Jason,</div><div>Thank you, you solution is helped resolve the issue. </div><div>As side note. When matched traffic is marked is it make sense set it as DROP in rule action ? Or just let firewall put  source ip in ipset with timeout and then just drop.</div></div></div></blockquote><div><br></div><div>I'm not really sure whats best, I'm not a user of IPS mode myself. However, I'd be cautious about setting all rules drop. That might lead to dropping some legitimate traffic triggering as false positives as well.</div><div><br></div><div>I hope someone else can chime in on your question.</div><div><br></div><div>Jason</div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div><div style="font-family:lucida console,sans-serif;font-size:12pt;color:#000000"><div><br></div><div>Slava.</div><div><br></div><hr id="m_509541445298770894zwchr"><div><b>From: </b>"Jason Ish" <<a href="mailto:ish@unx.ca" target="_blank">ish@unx.ca</a>><br><b>To: </b>"oisf-users" <<a href="mailto:oisf-users@lists.openinfosecfoundation.org" target="_blank">oisf-users@lists.openinfosecfoundation.org</a>><br><b>Sent: </b>Thursday, October 18, 2018 2:37:49 PM<br><b>Subject: </b>Re: [Oisf-users] suricata update modify<br></div><div><br></div><div><div dir="ltr"><div dir="ltr"><div dir="ltr"><div>Hi Slava,</div><div dir="ltr"><br></div><div class="gmail_quote"><div dir="ltr">On Thu, Oct 18, 2018 at 5:58 AM Slava Bendersky <<a href="mailto:volga629@networklab.ca" target="_blank">volga629@networklab.ca</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div><div style="font-family:"lucida console",sans-serif;font-size:12pt;color:rgb(0,0,0)"><div>Hello Everyone,</div><div>Can't figure out how to insert nfq connection mark in  drop rules in /etc/suricata/modify.conf.</div><div>First one works, second incorrect.</div><div>Any help thank you.</div><br><div><div>re:. ^alert drop</div><div>re:. ";)$" "; nfq_set_mark:0x2\/0xffffffff;)" </div></div></div></div></blockquote><br><div>In your second line you'll have to escape the ')' as its not part of a regular expression grouping, so this will have it looking like:</div><br><div>re:. ";\)$" "; nfq_set_mark:0x2\/0xffffffff;)" <br></div><br><div>Also, in your "to" expression you should not be escaping the "/", this will result in a rule that won't be loaded by Suricata. So what I think you are looking for is:</div><br><div>re:. ";\)$" "; nfq_set_mark:0x2/0xffffffff;)" <br></div><br><div>Hope that helps,</div><div>Jason</div></div></div></div></div>
<br>_______________________________________________<br>Suricata IDS Users mailing list: <a href="mailto:oisf-users@openinfosecfoundation.org" target="_blank">oisf-users@openinfosecfoundation.org</a><br>Site: <a href="http://suricata-ids.org" target="_blank">http://suricata-ids.org</a> | Support: <a href="http://suricata-ids.org/support/" target="_blank">http://suricata-ids.org/support/</a><br>List: <a href="https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users" target="_blank">https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users</a><br><br>Conference: <a href="https://suricon.net" target="_blank">https://suricon.net</a><br>Trainings: <a href="https://suricata-ids.org/training/" target="_blank">https://suricata-ids.org/training/</a><br></div></div></div></blockquote></div></div>