Как определить несколько адресов в HOME_NET в suricata.yml?

Question

Я пытаюсь настроить suricata в моей сети. Когда я устанавливаю HOME_NET в /etc/suricata/suricata.yml как:

HOME_NET: "[172.20.5.0/24]"

, все работает нормально. Но когда я пытаюсь определить более одного пула адресов как:

 HOME_NET: "[172.20.5.0/24,172.16.0.0/16,172.20.1.0/24]"

, я не могу наблюдать какие-либо события в /var/log/suricata/log.fast.

Как правильно определить несколько сетей в HOME_NETпеременная

Answer 1

Проблема заключалась в том, что я пытался пропинговать Home_Net (172.20.5.12) из ​​ Home_Net (172.20.5.18). А свойство External_Net было установлено как ! $ Home_Net . Правило, запускающее оповещение о пинге:

оповещение icmp $ EXTERNAL_NET any -> $ HOME_NET any (msg: «GPL ICMP_INFO PING * NIX»; тип: 8; содержимое: «| 10 11 12 13 14 1516 17 18 19 1A 1B 1C 1D 1E 1F | "; глубина: 32; тип классификации: разное действие; sid: 2100366; рев: 8; метаданные: созданы_ 2010_09_23, обновлены_ 2010_09_23;)

оповещениятолько с EXTERNAL_NET до HOME_NET и я пинговал с HOME_NET до HOME_NET .

Чтобы увидеть этот «внутренний» пинг-сигнал, вам нужно определить EXTERNAL_NET как любой .