如何在suricata.yml中定义HOME_NET中的几个地址?
How to define a few addresses in HOME_NET in suricata.yml?
我正在尝试在我的网络中配置 suricata。当我在 /etc/suricata/suricata.yml 中设置一个 HOME_NET 为:
HOME_NET: "[172.20.5.0/24]"
一切正常。但是当我尝试将多个地址池定义为:
HOME_NET: "[172.20.5.0/24,172.16.0.0/16,172.20.1.0/24]"
我无法观察到 /var/log/suricata/log.fast 中的任何事件。
如何在HOME_NET变量中正确定义几个网络?
问题是我试图从 Home_Net[=27 ping Home_Net(172.20.5.12) =](172.20.5.18)。而 属性 External_Net 被设置为 !$Home_Net。触发 ping 警报的规则:
alert icmp $EXTERNAL_NET any -> $HOME_NET any (msg:"GPL ICMP_INFO PING
*NIX"; itype:8; content:"|10 11 12 13 14 15 16 17 18 19 1A 1B 1C 1D 1E 1F|"; depth:32; classtype:misc-activity; sid:2100366; rev:8;
metadata:created_at 2010_09_23, updated_at 2010_09_23;)
仅从 EXTERNAL_NET 到 HOME_NET 发出警报,我正在从 [ping =43=] 到 HOME_NET。
要查看此 "internal" ping 警报,您需要将 EXTERNAL_NET 定义为 any.
我正在尝试在我的网络中配置 suricata。当我在 /etc/suricata/suricata.yml 中设置一个 HOME_NET 为:
HOME_NET: "[172.20.5.0/24]"
一切正常。但是当我尝试将多个地址池定义为:
HOME_NET: "[172.20.5.0/24,172.16.0.0/16,172.20.1.0/24]"
我无法观察到 /var/log/suricata/log.fast 中的任何事件。
如何在HOME_NET变量中正确定义几个网络?
问题是我试图从 Home_Net[=27 ping Home_Net(172.20.5.12) =](172.20.5.18)。而 属性 External_Net 被设置为 !$Home_Net。触发 ping 警报的规则:
alert icmp $EXTERNAL_NET any -> $HOME_NET any (msg:"GPL ICMP_INFO PING *NIX"; itype:8; content:"|10 11 12 13 14 15 16 17 18 19 1A 1B 1C 1D 1E 1F|"; depth:32; classtype:misc-activity; sid:2100366; rev:8; metadata:created_at 2010_09_23, updated_at 2010_09_23;)
仅从 EXTERNAL_NET 到 HOME_NET 发出警报,我正在从 [ping =43=] 到 HOME_NET。
要查看此 "internal" ping 警报,您需要将 EXTERNAL_NET 定义为 any.