我正在尝试在我的网络中配置suricata。当我在HOME_NET中将一个/etc/suricata/suricata.yml设置为:
HOME_NET: "[172.20.5.0/24]"
一切正常。但是,当我尝试将多个地址池定义为:
HOME_NET: "[172.20.5.0/24,172.16.0.0/16,172.20.1.0/24]"
我无法观察到/var/log/suricata/log.fast中的任何事件。
如何在HOME_NET变量中正确定义几个网络?
问题是我试图从Home_Net(172.20.5.18)ping和Home_Net(172.20.5.12)。并且属性External_Net设置为!$ Home_Net。触发ping警报的规则:
alert icmp $ EXTERNAL_NET any-> $ HOME_NET any(msg:“ GPL ICMP_INFO PING* NIX“; itype:8;内容:” | 10 11 12 13 14 15 16 17 18 19 1A 1B 1C 1D 1E 1F |“;深度:32; classtype:misc-activity; sid:2100366; rev:8;元数据:created_at 2010_09_23,updated_at 2010_09_23;)
仅从EXTERNAL_NET到HOME_NET的警报,而我从HOME_NET到HOME_NET进行ping操作。
要查看此“内部” ping警报,您需要将EXTERNAL_NET定义为any。