Re: Question about negation (!) in rules

["Joel Esler \(jesler\) via Snort-sigs" <snort-sigs () lists snort org>]

Yes.  It’s possible.

—
Sent from my  iPhone

On Nov 28, 2021, at 10:21, Wojcicki, Michal via Snort-sigs <snort-sigs () lists snort org> wrote:


Dear community,
Is it possible to use negation in destination IP address??

Example:
alert tcp $EXTERNAL_NET any -> !172.16.0.0/12 $HTTP_PORTS

Or use variable declared in .conf file – but main question is can I negate destination IP?
I saw in examples negating source IP, I saw negating ports but not destination IP. Is it possible?

Best Regards
Michał Wójcicki
Specjalista IT

tel. +48 430 26 00
tel. kom. +48 792 802 705
michal.wojcicki () ilf com<mailto:michal.wojcicki () ilf com>

ILF Consulting Engineers Polska Sp. z o.o.
ul. Osmańska 12
02-823 Warszawa
tel. +48 22 430 26 00, faks +48 22 430 26 01
www.poland.ilf.com<https://www.poland.ilf.com/>
Sąd Rejonowy dla m.st. Warszawy, KRS 0000035851, NIP 526-22-45-076
Kapitał zakładowy 1 000 000 PLN
[cid:image001.png@01D7E148.E2A77840]<https://www.linkedin.com/company/ilf-consulting-engineers>
[cid:image002.png@01D7E148.E2A77840]
ILF Consulting Engineers Polska Sp. z o.o. należy do Grupy  ILF, której członkowie są niezależnymi podmiotami prawnymi 
i nie ponoszą odpowiedzialności za działania lub zaniechania innych spółek Grupy ILF.
------------------------------------------------------------------------------------------------------------------------------------
Niniejsza wiadomość oraz wszelkie załączone do niej pliki są poufne i mogą być chronione prawnie. Jeżeli nie jest 
Pan/Pani zamierzonym adresatem, prosimy o niezwłoczne poinformowanie nadawcy i usunięcie wiadomości.

P Proszę pomyśl o środowisku naturalnym, zanim wydrukujesz ten e-mail.

_______________________________________________
Snort-sigs mailing list
Snort-sigs () lists snort org
https://lists.snort.org/mailman/listinfo/snort-sigs

Please visit http://blog.snort.org for the latest news about Snort!

Please follow these rules: https://snort.org/faq/what-is-the-mailing-list-etiquette

Visit the Snort.org to subscribe to the official Snort ruleset, make sure to stay up to date to catch the most <a 
href=" https://snort.org/downloads/#rule-downloads";>emerging threats</a>!

_______________________________________________
Snort-sigs mailing list
Snort-sigs () lists snort org
https://lists.snort.org/mailman/listinfo/snort-sigs

Please visit http://blog.snort.org for the latest news about Snort!

Please follow these rules: https://snort.org/faq/what-is-the-mailing-list-etiquette

Visit the Snort.org to subscribe to the official Snort ruleset, make sure to stay up to date to catch the most <a 
href=" https://snort.org/downloads/#rule-downloads";>emerging threats</a>!