@werter вспомнил, что господ в семнадцатом победили, думал никто не ответит, а тут товарищи на помощь пришли, приятно! :)))
На самом деле тут возможно в самой логике ошибка, у меня нет каких то сервисов наружу (только UDP порт OpenVPN с TLS pre-auth, что в принципе то надежно). Так нужен ли мне Snort на границе WAN-Firewall??
Что я хочу от IPS в первую очередь, так это блокировка бэкконнектов до C2/C2C, реверс-шеллов и т. д. Прислали бухам малварь, открыла она его и ...ничего не произошло! (как в той рекламе протекта от Я).
Возможно мне нужно разместить систему после Firewall, на границе не с глобальной, а с локальной сетью? Тогда IPS "будет знать" о локальных адресах и тогда я смогу в Supress прописать исключение подсети с камерами (намекаю на "track by_src")?
PS. про Suricata в курсе, Снорт поставил чисто интуитивно, "пальцем в небо". Впредь буду выбирать Suricata.