Как настроить братан, чтобы он игнорировал трафик из определенных подсетей?

Question

Как настроить братан, чтобы он игнорировал трафик из определенных подсетей?

Ситуация: я установил Zeek/Bro IDS и заставил его прослушивать один интерфейс (с пересылкой трафика iptables.

client1 === iptables === client2
               ||
            zeek_ids

Проблема: Zeek запускается трафиком 127.0.0.1/8, и я не могу найти никаких материалов, которые помогли бы мне игнорировать этот трафик в Google.

Вопрос: Чтобы не ограничивать трафик только 127.0.0.0/8, как я могу настроить Zeek так, чтобы он мог игнорировать трафик, исходящий из определенных подсетей?

Дополнительная информация 1: я попытался добавить подсеть (127.0.0.0/8) в $ZEEK_PREFIX/etc/networks.cfg и это ничего не дало

0

bro zeek

Источник

user5640550 01 апр '20 в 05:43

1 ответ

Другие вопросы по тегам bro zeek

user358904 02 апр '20 в 01:54 2020-04-02 01:54 · Answer 1 · 2020-04-02 01:54

У вас есть несколько вариантов, все с использованием фильтров BPF для исключения определенных диапазонов подсети. Вы можете:

вызвать Зика с помощью -f пройти через такой фильтр,
добавить записи в capture_filters таблица в скриптовом слое,
использовать более продвинутые функции PacketFilterмодуль.

Возможный фильтр BPF для использования в вашем случае будет not net 127.0.0.0/8.