Snort - Bloquear classe especifica de regras

marcosjost

Boa tarde, tenho o snort rodando no pfsense a algum tempo, somente logando. Agora queria começar a bloquear, mas so alguns tipos específicos, como por ex: (Class) Attempted User Privilege Gain , que gera os: (smtp) Attempted response buffer overflow.
O restante das regras gostaria de continuar apenas logando.
Configurei ele baseado no tutorial : Quick Snort Setup Instructions for New Users.
Em "Use IPS Policy" deixie a opção: "Connectivity"
dei uma lida em outros tutorias, mas não sei se é possível fazer isso quero.

marcelloc

Não sei se a versão atual é compatível, mas já tentou configurar dois snorts na mesma interface?

um só com alertas e outro só com as categorias para bloquear?

marcosjost

@marcelloc:

Não sei se a versão atual é compatível, mas já tentou configurar dois snorts na mesma interface?

um só com alertas e outro só com as categorias para bloquear?

Obrigado pela sugestão Marcello;
Vou ver aqui na maquina de teste se rola…..

UPDATE
Fiz um teste agora, criei dois snorts na wan, um so com alertas e outro bloqueando a categoria que quero
Rodou sem erros, vou deixar ate amanha pra ver