<div dir="ltr">Hello,<div><br></div><div>I hope I'm writing it in the right place..</div><div><br></div><div>I have a security onion server and I have 2 interfaces. <br>The first is for management. The second is to sniff.<br>I mirrored the uplink port of the switch for sniff interface. (no inline traffic, only port mirror)<br>Everything works so well.(kibana,squert vs..)<br>I'm using the Suricata engine for alerting.<br>There are a few things I'm curious about.<br>I can see all the events.<br>I can reject some rules but not all of them. I tested this, for example when I reject off some rdp traffic and and my access is cut off. This is a good thing.<br>I only do this by typing reject at the beginning of the rule.<br><u>I wonder how did this rejection process? Because I only have one interface for sniff. </u>Why doesn't this method work in some rules?<br>Is this interface sending a tcp reset request to my Switch?<br>Why are some rejection rules working and others not?<br>Do I need a third interface for tcp rst packet to switch? <br><br>Regards<br>Ayhan ARDA<br><div><br></div>-- <br><div dir="ltr" class="gmail_signature" data-smartmail="gmail_signature"><div dir="ltr"><br><div></div></div></div></div></div>