Ковыряю snort дальше. Задача - отучить это чудо генерить алерты SHELLCODE на 25 порту.

В дефолтном snort.conf есть параметр.

portvar portvar SHELLCODE_PORTS !80

Меняю на [0:24,26:79,81:65535].

Перезапускаю. В логах вижу, что переменная SHELLCODE_PORTS изменилась как надо.
Однако алерты не прекращаются:

[**] [1:1394:9] SHELLCODE x86 NOOP [**]
[Classification: Executable code was detected] [Priority: 1]
02/09-20:56:53.928938 209.xxx.xxx.xxx:36160 -> 81.xxx.xxx.xxx:25
TCP TTL:240 TOS:0x10 ID:0 IpLen:20 DgmLen:2862
***AP*** Seq: 0xA9B4FDC5  Ack: 0x3F5F59F3  Win: 0x456  TcpLen: 20

Лезу в shellcode.rules. Там нет и намека на SHELLCODE_PORTS

alert ip $EXTERNAL_NET any -> $HOME_NET all (msg:"SHELLCODE x86 NOOP"; content:"|90 90 90 90 90 90 90 90 90 90 90 90 90 90|"; reference:arachnids,181; classtype:shellcode-detect; sid:648; rev:9;)

Руками вбиваю эту переменную во все правила:

alert ip $EXTERNAL_NET any -> $HOME_NET $SHELLCODE_PORTS (msg:"SHELLCODE x86 NOOP"; content:"|90 90 90 90 90 90 90 90 90 90 90 90 90 90|"; reference:arachnids,181; classtype:shellcode-detect; sid:648; rev:9;)

Перезапускаю. Алерты все равно прут. Где и что я делаю не так?