|
<< Кликните, чтобы показать Содержание >> Условие IP |
Проверить IP-адреса клиента или сервера на вхождение в диапазон или на принадлежность к подсети.
Описание
Это условие проверяет IP-адреса клиента или сервера на вхождение в диапазон или на принадлежность к подсети.
Советы: 1. Нежелательный трафик нужно отсекать как можно раньше. От этого зависит производительность EtherSensor. 2. Весь трафик с некоторого IP или диапазона лучше всего отсекать в IP-фильтре службы EtherSensor EtherCAP. 3. Определённый трафик HTTP c некоторого IP (если возможно определить такие критерии) лучше всего отсекать в HTTP-фильтре. 4. Определённые сообщения с некоторого IP-адреса необходимо обрабатывать в фильтре сообщений. |
|---|
Формат
<c name="ip" address="<address type>" value="<ip-range>" /> |
|---|
Атрибут "name":
В атрибуте "name" укажите имя условия: name="ip".
Атрибут "address":
В атрибуте address="..." укажите тип адреса для проверки. Возможные значения:
src или client
Проверять адрес источника
dst или server
Проверять адрес назначения.
Атрибут "value":
В атрибуте value="..." укажите значение для сравнения. Возможные значения:
ipaddress
Проверяет IP-адрес на равенство. Например, value="192.168.0.10"
ip1-ip2
Проверяет на вхождение IP-адреса в диапазон. Например, value="192.168.0.1-192.168.0.10"
ip/netmask
Проверяет на принадлежность IP-адреса к указанной подсети. Например, value="192.168.0.1/255.255.255.0"
ip/netmaskbits
Проверяет на принадлежность IP-адреса к указанной подсети. Например, value="192.168.0.1/24".
Пример:
Сообщения от клиента с машины 192.168.0.15 игнорировать.
<?xml version="1.0" encoding="utf-8"?> <filter name="HTTP filter" version="1.0"> <comment>HTTP filter.</comment>
<table name="main">
<rule enabled="1"> <comment> Discard messages from 192.168.0.15. </comment> <match> <c name="ip" address="client" value="192.168.0.15" /> </match> <action name="drop" /> </rule>
<rule enabled="1"> <action name="accept" /> </rule>
</table> </filter> |
|---|