1

我正在尝试在我的网络中配置 suricata。当我将其中之一设置HOME_NET/etc/suricata/suricata.yml

HOME_NET: "[172.20.5.0/24]"

一切正常。但是,当我尝试将多个地址池定义为:

 HOME_NET: "[172.20.5.0/24,172.16.0.0/16,172.20.1.0/24]"

我无法观察到任何事件/var/log/suricata/log.fast

如何正确定义HOME_NET变量中的几个网络?

4

1 回答 1

1

问题是我试图从Home_Net (172.20.5.18) ping 和Home_Net ( 172.20.5.12)。并且属性External_Net设置为!$Home_Net。触发 ping 警报的规则:

alert icmp $EXTERNAL_NET any -> $HOME_NET any (msg:"GPL ICMP_INFO PING *NIX"; itype:8; content:"|10 11 12 13 14 15 16 17 18 19 1A 1B 1C 1D 1E 1F|"; 深度: 32;类类型:杂项活动;sid:2100366;rev:8;元数据:created_at 2010_09_23,updated_at 2010_09_23;)

仅从EXTERNAL_NETHOME_NET的警报,我正在从HOME_NET ping到HOME_NET

要查看此“内部”ping 警报,您需要将 EXTERNAL_NET定义为any

于 2019-11-04T10:45:55.560 回答