•
• Опишем подробнее правила формирования цели (target) политики. Сами политики жестко определены в исходном коде программы и вкомпилированы в обработчик политик трафика. Возможны любые комбинации следующих типов:
• proto XX — номер или имя протокола из файла /etc/protocols
• tos XX — проверка на совпадения с полем TOS IP пакета
• port [s|d|b]num [s|d|b]num … — описывает TCP или UDP трафик на указанные порты. список портов — числа или диапозоны, отделенные пробелом.
• если перед числом стоит буква s(ource) - совпадение происходит только если совпадает порт в поле SRC пакета, d(estination) - в DST пакета, отсутствие буквы или b(oth) - SRC или DST.
• Ограничение на число элементов (отдельных портов или диапозонов) в списке — 10. Диапозоны задаются с помощью двоеточия или тире.
• например: target proto tcp port 25 описывает весь SMTP (почтовый)трафик, target proto tcp port s80:82 s8080 примененная к клиентскому компьютеру (юниту), считает входящий веб–трафик.
• as [s|d|b]num [s|d|b]num … — описывает трафик по указанным AS. список AS — числа или диапозоны, отделенные пробелом.
• если перед числом стоит буква s(ource) - совпадение происходит только если совпадает AS источника пакета, d(estination) - с номером AS получателя пакета, отсутствие буквы или b(oth) - SRC AS или DST AS.
• Ограничение на число элементов AS в списке — 10, диапазоны задаются с помощью двоеточия или тире.
• (Начиная с версии 3.3.0(2266))
• vlan N1 [ N2 ] … совпадает, если пакеты были инкапсулированы с VLAN–тэгом N, применимо к data–source libpcap
• ds N1 [ N2 ] … совпадает, если пакеты пришли от data–source номер N
• units oid XXXX трафик, при том что другая сторона (по IP заголовку) является NetUnit с индексом XXXX
• file YYYY совпадает, если другая сторона (по IP заголовку) совпадает с адресом из файла таблицы префиксов YYYY
• Файл префиксов содержит записи в следующих форматах:
• A.B.C.D /N или A.B.C.D /MASK или A.B.C.D/N или A.B.C.D/MASK
• где:
• A.B.C.D — адрес сети, например 10.1.1.0
• MASK — маска (255.255.255.0)
• N — количество единичных бит в сетевой маске, например 24 (255.255.255.0). Смотрите также подробное описание.
• addr addr … — ip адреса участники соединения.
• ifindex [s|d|b]num [s|d|b]num … — номера (индексы) интерфейсов в таблице роутинга. В настоящее время актуально только для netflow данных.
• ingress|egress — способ сбора netflow информации на роутере. В настоящее время актуально только для netflow v9 данных.
• policy–or [!]{NAME|OID} … [!]{NAME|OID} - политика совпадет, если совпадет проверка ЛЮБОЙ из перечисленных политик. Флажок ! означает инвертирование проверки к которой он относится.