snort

[Marko]

Zanima me kako se moze sloziti da snort u potpunosti ignorira promet s
odredene ip adrese?

snort imam instaliran na racunalu 192.168.1.2 i htio bih da ne provjerava
promet koji dolazi iz racunala 192.168.1.3.

U snort.conf sam pokusao staviti HOME_NET na
[192.168.1.2/32,192.168.1.3/32] i EXTERNAL_NET na !$HOME_NET ali nije bilo
nikakvog ucinka, snort i dalje prikazuje alertove izmedu te 2 ip adrese.

Pokusao sam se malo igrati i s threshold datotekom, ali bez nekog
napretka... Znam kako da ignorira pojedine sig_id-e, ali kako da sloziti da
ignorira sve?

Zahvaljujem unaprijed.