Как настроить bro, чтобы игнорировать трафик c из определенных подсетей?

Question

Ситуация: я настроил Zeek / Bro IDS и он прослушивает один интерфейс (с переадресацией iptables c.

client1 === iptables === client2
               ||
            zeek_ids

Проблема: Zeek запускается 127.0.0.1/ 8 traffi c и я не могу найти какие-либо материалы, которые могли бы помочь мне игнорировать эти траффи c в Google.

Вопрос: Не ограничиваться только 127.0.0.0/8 traffi c, как я могу настроить Зик такой, что он может игнорировать трафик c, поступающий из определенных подсетей?

Дополнительная информация 1: Я попытался добавить su bnet (127.0.0.0/8) к $ZEEK_PREFIX/etc/networks.cfg, и это ничего не сделал

Answer 1

У вас есть несколько вариантов, все из которых используют фильтры BPF для исключения определенных c su bnet диапазонов. Вы можете:

• вызывать Zeek с -f для передачи такого фильтра,
• добавлять записи в таблицу capture_filters в слое сценариев,
• используйте более продвинутые функции PacketFilter модуля .

Возможный фильтр BPF для использования в вашем случае будет not net 127.0.0.0/8.