<div dir="auto"><div dir="auto">We want to detect a GET request like this:</div><div dir="auto"><br></div><div dir="auto"><a href="http://domain-name/delete">http://domain-name/delete</a></div><div dir="auto"><br></div>The following rule, does not match with packets that are forwarded on the box running suricata:<div dir="auto"><br></div><div dir="auto">alert http any any -> any any (msg:"delete detected"; content:"delete"; http_uri; nocase; sid:1; rev:1)</div><div dir="auto"><br></div><div dir="auto">However, it does match with packets that have a source or destinaton address in common with the box. (Tested on both Linux Suricata 3.2.2 and FreeBSD Suricata 4.0.0 and 5.0.1)<div dir="auto"><br></div><div dir="auto">However, as soon as the http protocol detection module gets out of the way, it starts to work as expected:</div><div dir="auto"><br></div><div dir="auto">alert http any any -> any any (msg:"delete detected"; content:"delete"; http_uri; nocase; sid:1; rev:1)<br></div><div dir="auto"><br></div><div dir="auto">This rule matches with forwarded packeets, too.</div><div dir="auto"><br></div><div dir="auto">Can you please let me know if I am missing something?</div><div dir="auto"><br></div><div dir="auto">Thanks in advance for your help.</div></div></div>