<div dir="ltr">Thanks you. I only need to block the alerts for that IP range. If i use BPF it will block everything right(flow,dns,http).<div><br></div><div> Please let me know how can I achieve this.</div><div><br></div><div>Thanks,</div><div>Jayaprasad</div></div><div dir="ltr"><br></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Fri, Mar 15, 2019 at 9:11 PM Nico Holguin <<a href="mailto:nico@iso.utah.edu" target="_blank">nico@iso.utah.edu</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Create a pass rule like this [1]:<br>
pass ip 64.39.XX.XX/20 any -> any any (msg:"pass all traffic from/to 1.2.3.4"; sid:1;)<br>
<br>
If you do not want anything from that network, you could also use a more efficient capture filter.<br>
<br>
[1]<a href="https://suricata.readthedocs.io/en/suricata-4.1.3/performance/ignoring-traffic.html" rel="noreferrer" target="_blank">https://suricata.readthedocs.io/en/suricata-4.1.3/performance/ignoring-traffic.html</a><br>
<br>
Nico<br>
________________________________________<br>
From: Oisf-users <<a href="mailto:oisf-users-bounces@lists.openinfosecfoundation.org" target="_blank">oisf-users-bounces@lists.openinfosecfoundation.org</a>> on behalf of jayaprasad v <<a href="mailto:jayaprasad800@gmail.com" target="_blank">jayaprasad800@gmail.com</a>><br>
Sent: Friday, March 15, 2019 4:44:02 AM<br>
To: Open Information Security Foundation<br>
Subject: [Oisf-users] Whitelist Network in Suricata<br>
<br>
Dear All,<br>
<br>
Could you please help me with the below request.<br>
<br>
I was trying to suppress/whitelist particular IP network, so that we will not get any more alerts from this IP range.<br>
<br>
Below are the steps which I tried to suppress but with no success.<br>
<br>
Edited /etc/suricata/threshold.config and added below entry<br>
<br>
suppress gen_id 0, sig_id 0, track by_src, ip 64.39.XX.XX/20<br>
suppress gen_id 1, sig_id 0, track by_src, ip 64.39.XX.XX/20<br>
<br>
Restarted the suricata service.<br>
<br>
Could you please help me and advice how to proceed on this.<br>
<br>
Thanks,<br>
Jayaprasad<br>
<br>
</blockquote></div>