6.2.2.16.7. packet-filtering
6.2.2.16.7.1. Introduction
La commande packet-filtering du sous-groupe set advanced-configuration permet de spécifier des règles statiques de filtrage des flux capturés par les interfaces de capture.
Cela permet notamment d'exclure les flux :
qui ne sont pas analysables
qui pourraient saturer les ressources de l'appliance (CPUs...)
Ci-dessous les options de configuration :
création de règle de filtrage
Pour créer une règle de filtrage, il faut suivre les étapes suivantes :définir le vlan natif
La commande
set advanced-configuration packet-filtering interface mon1 change-native-vlanpermet de spécifier le numéro de VLAN non-tagué 802.1q ou 802.1ad (VLAN imbriqués) aux trames qui n'ont pas de VLAN.définir l'interface de capture
interfacedéfinir le vlan
vlanLa syntaxe pour le support de 802.1AD (Q-in-Q) est X:Y:
X est "l'outer TAG". "L'outer TAG" peut être tagué tel 0x88A8,802.1AD
Y est "l'inner TAG". "L'inner TAG" peut être tagué tel 0x9100, 0x9200, 0x8100 (Cisco)
spécifier le flux (
prefix,port-range,protocol,ciphered-protocols)le mot clé
confirmpermet de forcer la confirmation de la commande
supprimer une règle de filtrage
Pour supprimer une règle de filtrage, il faut suivre les étapes suivantes :définir l'id de la règle en utilisant la commande :
show advanced-config packet-filtering.supprimer une seule règle avec l'ID de la règle :
set advanced-configuration packet-filtering delete ID.supprimer un groupe de règles avec la syntaxe
begin-end:set advanced-configuration packet-filtering delete ID_BEGIN-ID_END.
Note
La fonctionnalité de packet-filtering n'est pas supportée lorsque la MTU > 3000.
6.2.2.16.7.2. Prérequis
Utilisateur : setup
Dépendances : le moteur de détection doit être à l'arrêt
6.2.2.16.7.3. Commande
Pour définir le vlan natif :
set advanced-configuration packet-filtering interface {mon0|mon1|mon2|mon3} change-native-vlan VLAN_ID confirm
set advanced-configuration packet-filtering interface {mon0|mon1|mon2|mon3} drop vlan VLAN_ID prefix PREFIX_NETWORK port-range {BEGIN:END} confirm
Pour ajouter à l'interface de capture monx une règle de filtrage des flux chiffrés du vlan ID :
set advanced-configuration packet-filtering interface {mon0|mon1|mon2|mon3} drop ciphered-protocols vlan VLAN_ID confirm
Pour supprimer une seule règle avec l'ID de la règle :
set advanced-configuration packet-filtering delete ID
Pour supprimer un groupe de règles avec la syntaxe :
set advanced-configuration packet-filtering delete {BEGIN-END}
6.2.2.16.7.4. Exemple pour ajouter à l'interface de capture mon1 une règle de filtrage des flux chiffrés du vlan 110
Entrer la commande suivante.
(gcap-cli) set advanced-configuration packet-filtering interface mon1 drop ciphered-protocols vlan 110 confirm
Valider.
Le système affiche le résultat.
Adding rules: - iface mon1 drop vlan 110 prefix 0.0.0.0/0 proto ESP - iface mon1 drop vlan 110 prefix 0.0.0.0/0 proto AH - iface mon1 drop vlan 110 prefix 0.0.0.0/0 proto L2TP - iface mon1 drop vlan 110 prefix 0.0.0.0/0 proto GRE - iface mon1 drop vlan 110 prefix 0.0.0.0/0 proto TCP range 22:22 - iface mon1 drop vlan 110 prefix 0.0.0.0/0 proto TCP range 443:443 - iface mon1 drop vlan 110 prefix 0.0.0.0/0 proto TCP range 465:465 - iface mon1 drop vlan 110 prefix 0.0.0.0/0 proto UDP range 500:500 - iface mon1 drop vlan 110 prefix 0.0.0.0/0 proto TCP range 993:993 - iface mon1 drop vlan 110 prefix 0.0.0.0/0 proto TCP range 995:995 - iface mon1 drop vlan 110 prefix 0.0.0.0/0 proto UDP range 4500:4500
6.2.2.16.7.5. Exemple pour définir le vlan natif
Entrer la commande suivante.
(gcap-cli) set advanced-configuration packet-filtering interface mon1 change-native-vlan 10
Valider.
Le système affiche le résultat.
The following rules will be created: - iface mon1 native vlan 10 Do you want to continue? [y/N]
Entrer y
6.2.2.16.7.6. Exemple pour supprimer une règle de filtrage
Entrer la commande suivante.
(gcap-cli) show advanced-configuration packet-filtering
Valider.
Le système affiche le résultat.
Current XDP filters: - 0: iface mon1 native vlan 10 - 1: iface mon2 native vlan 1 - 2: iface mon1 drop vlan 110 prefix 0.0.0.0/0 proto TCP range 22:22 - 3: iface mon1 drop vlan 110 prefix 0.0.0.0/0 proto TCP range 443:443 - 4: iface mon1 drop vlan 110 prefix 0.0.0.0/0 proto TCP range 465:465 - 5: iface mon1 drop vlan 110 prefix 0.0.0.0/0 proto TCP range 993:993 - 6: iface mon1 drop vlan 110 prefix 0.0.0.0/0 proto TCP range 995:995 - 7: iface mon1 drop vlan 110 prefix 0.0.0.0/0 proto UDP range 500:500 - 8: iface mon1 drop vlan 110 prefix 0.0.0.0/0 proto UDP range 4500:4500 - 9: iface mon1 drop vlan 110 prefix 0.0.0.0/0 proto GRE - 10: iface mon1 drop vlan 110 prefix 0.0.0.0/0 proto ESP - 11: iface mon1 drop vlan 110 prefix 0.0.0.0/0 proto AH - 12: iface mon1 drop vlan 110 prefix 0.0.0.0/0 proto L2TP
Entrer la commande suivante.
(gcap-cli) set advanced-configuration packet-filtering delete 4 confirm
Valider.
Deleting the following rules: - iface mon1 drop vlan 110 prefix 0.0.0.0/0 proto TCP range 465:465
Entrer la commande suivante.
(gcap-cli) set advanced-configuration packet-filtering delete 6-9 confirm
Valider.
Deleting the following rules: - iface mon1 drop vlan 110 prefix 0.0.0.0/0 proto UDP range 500:500 - iface mon1 drop vlan 110 prefix 0.0.0.0/0 proto UDP range 4500:4500 - iface mon1 drop vlan 110 prefix 0.0.0.0/0 proto GRE - iface mon1 drop vlan 110 prefix 0.0.0.0/0 proto ESP