Hi,

ich habe das Problem das Snort mich mit meldungen " [snort] (http_inspect) OVERSIZE CHUNK ENCODING" zu einer bestimmten IP zuspamt.

Es stellte sich herraus, das eine Applikation auf Kundenseite dies verursacht.
Ich möchte nun ungern die ganze Regel im Ruleset deaktiviren und suche deswegen einen weg, die Ziel IP zu whitelisten.

Google war bisher nicht sehr hilfreich, genaus wie die man page zu snort. Ich fürchte ja fast das das so garnicht geht.

thx,
tom

also ich hab jetzt mal in die local.rules folgendes geschrieben, was aber auch nicht geht:


pass tcp 217.110.x.x any -> any any ( sid:1000001 ;)
pass tcp any any -> 217.110.x.x any ( sid:1000002 ;)


das local.rules ist in der snort.conf included.

tom

BPF ist die lösung

aber immer noch keine ahnung, warum meine rules nicht gingen.

tom