OpenForum RSS: правила для flow-nfilter https://ssl.opennet.dev/openforum/vsluhforumID1/87849.html Добрый день. Поставил себе flow-tools, но не могу разобраться с его фильтрами.<br>Написал следующие фильтры:<br><br>filter-primitive set1<br> type ip-address-prefix<br> permit 192.168.0.0/24<br> <br>filter-definition set1<br> match ip-source-address set1<br> <br>filter-primitive set3<br> type ip-address-prefix<br> permit 192.168.6.0/24<br> <br>filter-definition set3<br> match ip-source-address set3<br> <br>filter-primitive set2<br> type ip-address-prefix<br> permit 192.168.1.0/24<br> <br>filter-definition set2<br> match ip-source-address set2<br><br>filter-primitive mail_server<br> type ip-address<br> permit 192.168.10.6<br> default deny<br> <br>filter-primitive proxy_server<br> type ip-address<br> permit 192.168.10.2<br> default deny<br> <br>filter-primitive gw_server<br>type ip-address<br>permit 192.168.10.3 <br>default deny<br> <br>filter-primitive all <br> type ip-address-prefix<br> permit 192.168.0.0/24<br> permit 192.168.1.0/24<br> permit 192.168.3.0/24<br> permit 192.168.5.0/24<br> permit 192.168.6.0/24<br> <br>filter-definition all<br> match src-ip-addr set1<br> or правила для flow-nfilter (Pahanivo) https://ssl.opennet.dev/openforum/vsluhforumID1/87849.html#15 Mon, 18 Jan 2010 13:09:20 GMT &gt;[оверквотинг удален]<br>&gt;&gt;<br>&gt;&gt; or <br>&gt;&gt; match ip-destination-port port25 <br>&gt;&gt;<br>&gt;&gt; match start-time dec12 <br>&gt;&gt;<br>&gt;&gt;<br>&gt;&gt;думаю это по твоей теме ... <br>&gt;<br>&gt;нет, мне не надо на каком то порту, надо весь трафик... <br><br>знаешь дорогой, пора уже своим мозгом думать начинать ...<br>я тебе дал ПРИМЕР из МАНА, пример показывает порядок интерпретации ЛОГИЧЕСКИХ ВЫРАЖЕНИЙ в правилах фильтра<br><br>rule1 AND (rule2 OR rule3) = (в нотации фильтра, по федолту AND) rule1 rule2 OR rul1 rule3 =! (а не так как у тебя) rule1 rule2 OR rule3<br> правила для flow-nfilter (Aidaho) https://ssl.opennet.dev/openforum/vsluhforumID1/87849.html#14 Mon, 18 Jan 2010 11:03:13 GMT &gt;[оверквотинг удален]<br>&gt;<br>&gt; match start-time dec12 <br>&gt;<br>&gt; or <br>&gt; match ip-destination-port port25 <br>&gt;<br>&gt; match start-time dec12 <br>&gt;<br>&gt;<br>&gt;думаю это по твоей теме ... <br><br>нет, мне не надо на каком то порту, надо весь трафик...<br> правила для flow-nfilter (Pahanivo) https://ssl.opennet.dev/openforum/vsluhforumID1/87849.html#13 Mon, 18 Jan 2010 10:56:55 GMT &gt;[оверквотинг удален]<br>&gt; type ip-address-prefix <br>&gt; permit 192.168.5.0/24 <br>&gt;<br>&gt;filter-definition set_out <br>&gt; match src-ip-addr set <br>&gt; match dst-ip-addr mail_server <br>&gt; or <br>&gt; match dst-ip-addr proxy_server <br>&gt; or <br>&gt; Match dst-ip-addr gw_server <br><br>не стал гадать - дал man flow-nfilter и вот что увидел:<br><br> filter-definition foo<br> match ip-source-port port80<br> match start-time dec12<br> or<br> match ip-destination-port port25<br> match start-time dec12<br><br>думаю это по твоей теме ...<br> правила для flow-nfilter (Aidaho) https://ssl.opennet.dev/openforum/vsluhforumID1/87849.html#12 Mon, 18 Jan 2010 10:04:04 GMT &gt;ну не получается у тебя построить сложный фильт - построй несколько простых <br>&gt;и понятных, <br>&gt;скрипты для допиливания еще никто не отменял <br><br>делаю например так, все равно показывает какой то странный трафик:<br><br>filter-primitive set<br> type ip-address-prefix<br> permit 192.168.5.0/24<br><br>filter-definition set_out<br> match src-ip-addr set<br> match dst-ip-addr mail_server<br> or<br> match dst-ip-addr proxy_server<br> or<br> Match dst-ip-addr gw_server<br> правила для flow-nfilter (Pahanivo) https://ssl.opennet.dev/openforum/vsluhforumID1/87849.html#11 Mon, 18 Jan 2010 09:51:32 GMT ну не получается у тебя построить сложный фильт - построй несколько простых и понятных,<br>скрипты для допиливания еще никто не отменял<br><br><br> правила для flow-nfilter (Aidaho) https://ssl.opennet.dev/openforum/vsluhforumID1/87849.html#10 Mon, 18 Jan 2010 09:23:24 GMT &gt;[оверквотинг удален]<br>&gt; type ip-address-prefix <br>&gt; deny 192.168.0.0/24 <br>&gt; default permit <br>&gt;<br>&gt;filter-primitive NAME <br>&gt; type ip-address-prefix <br>&gt; permit 192.168.0.0/24 <br>&gt; default deny <br>&gt;<br>&gt;внимательно смотрим и ищем ДВА отличия <br><br>блин, все не могу понять логику... ((<br><br>не поможете? мне надо что бы считался трафик из моих подсетей, который идет на 3 сервера.<br>Ну и суммарный трафик, со всех сетей... помоги плз...<br> правила для flow-nfilter (nadirx2) https://ssl.opennet.dev/openforum/vsluhforumID1/87849.html#9 Fri, 15 Jan 2010 08:55:18 GMT filter-primitive mynettraffic<br> type ip-address-prefix<br> permit 192.168.0.0/24<br> default deny<br><br>filter-definition mynet<br> match-ip-destination-address mynettraffic<br> или<br> match-ip-source-address mynettraffic<br> правила для flow-nfilter (Pahanivo) https://ssl.opennet.dev/openforum/vsluhforumID1/87849.html#8 Fri, 15 Jan 2010 05:11:36 GMT filter-primitive NAME<br> type ip-address-prefix<br> deny 192.168.0.0/24<br> default permit<br><br>filter-primitive NAME<br> type ip-address-prefix<br> permit 192.168.0.0/24<br> default deny<br><br>внимательно смотрим и ищем ДВА отличия<br> правила для flow-nfilter (Aidaho) https://ssl.opennet.dev/openforum/vsluhforumID1/87849.html#7 Fri, 15 Jan 2010 03:53:43 GMT &gt;[оверквотинг удален]<br>&gt;&gt;а не подскажите как? а то в манах что то не заметил <br>&gt;&gt;:) <br>&gt;&gt;желательно с примером... <br>&gt;<br>&gt;так не пробовал? ) <br>&gt;<br>&gt;filter-primitive NAME <br>&gt; type ip-address-prefix <br>&gt; deny 192.168.0.0/24 <br>&gt; default permit <br><br>эм... пробовал.. в конфиге же есть такое :)<br>только я не понял, где тут реверс? <br>