bom pessoal, vou tentar deixa o mas claro possivel minhas explicação.
no /var/log/portscan.log
ele me mostra
Apr 6 11:36:31 200.218.23.251:58035 -> 207.46.110.29:80 SYN ******S*
Apr 6 11:36:33 200.218.23.251:58036 -> 64.4.43.250:80 SYN ******S*
Apr 6 11:36:34 200.218.23.251:58037 -> 207.46.110.16:80 SYN ******S*
Apr 6 11:36:34 200.218.23.251:58038 -> 207.68.178.16:80 SYN ******S*
Apr 6 11:36:34 200.218.23.251:58039 -> 65.54.194.118:80 SYN ******S*
Apr 6 11:36:34 200.218.23.251:58040 -> 207.68.178.238:80 SYN ******S*
Apr 6 11:36:35 200.218.23.251:58041 -> 207.68.177.125:80 SYN ******S*
Apr 6 11:36:35 200.218.23.251:58042 -> 207.46.110.13:80 SYN ******S*
200.218.23.251 eh velox =ppp0
bom, pensei que ele só tava analizando os pacotes que sai da minha rede, então fiz um teste, de outro servidor dei um nmap de um servidor de fora para esse meu ip da velox 200.218.23.251, no postscan.log na hora ele acusou o ip desse, o problema eh que no postscan.log fica aparcendo de minuto e minuto os os pacotes que sai da minha rede, ai eu pergunto, Teria como definir, para o snort só analizar os pacotes q entram? tenho que mexe em alguma .rules? ou eh no snort.conf? alguém sabe?