我有CentOS PC与suricataconfiguration为af_packet零拷贝模式。 我想阻止除了允许的所有端口。 我怎样才能做到这一点?
我知道在Suricata中有Berkeley Packet Filter(BPF)支持,但我无法理解如何configuration它。
例如,如果我说: not icmp那么suricata将阻止icmp数据包,并通过其他一切。 但是…如果我只想得到ICMPstream量icmp或not (not icmp)不工作。
是否有可能颠倒过滤规则?