Só acrescentando ao que o Eriberto disse, se vc realmente precisasse colocar alguma expressão regular lá bastaria ser
tcp regex(.*) que ele iria filtrar tudo.....( ponto = qualquer caractere; * = nenhuma ou + vezes) contudo, colocando isso aumentaria o processamento....como vc nao quer q nada passe, basta fazer como o eriberto disse..... e caso vc precisasse filtrar algo que contenha o caracter "|" (voce nao quer q ele trabalhe como 'ou lógico') vc deveria colocar uma barra de escape, ficando com tcp regex(\|bla\|) abraços!! On 2/23/06, Eriberto <[EMAIL PROTECTED]> wrote: > Vamos lá. Percebi que vc está usando regex (a versão do cvs). Morpheuz e > Vivi, criadores do regex no HLBR, me ajudem! > > Pincovscy, Joao Professor escreveu: > > > pelo excelente trabalho voluntário que está sendo desenvolvido. > > Registro inclusive que utilizei o hogwash e sua versão "ainda não > > light-BR" e a diferença para o HLBR é assustadora em se tratando da > > instalação. Falo isso como usuário de Linux-Debian e administrador de > > redes. > > Somos gratos pela observação. Estamos trabalhando muito. Nesta madrugada > fomos até 2:30h. O reconhecimento da comunidade é o nosso maior pagamento. > > > Preciso de bloquear todo o trafego para determinados IP´s que estão na > > minha faixa de IP´s válidos, mas não estão sendo utilizados, sendo > > assim criei: > > > > dentro o aquivo outros.rules a regra: > > <rule> > > ip dst(outros) > > tcp dst(1-1023) > > tcp regex(|*.*|) > > message=(scan indesejado) request > > action=action1 > > </rule> > > Bem, o caractere pipe quer dizer "ou lógico". Isso que você fez não vai > funcionar. O que você quer é o seguinte: > > <rule> > ip dst(outros) > tcp dst(1-1023) > message=(scan indesejado) request > action=action1 > </rule> > > Entendeu? Se nem pode chegar lá, você não precisa citar o que não pode. > > > > > Obs: com a autorização do Eriberto, líder do projeto, já estou > > utilizando a versão que está no CVS... > > Ok. Cabe ressaltar que o CVS é livre. Todo mundo pode usar. Apenasdevem > ter cuidado porque sempre poderá haver um bugzinho lá dentro. Mas nesta > madrugada já houve uma modificação em cima de um erro no content e no > nocase. > > Valeu João! > > []s > > Eriberto - www.eriberto.pro.br > > > > > ----------- > HLBR Newsgroup > server: news.gmane.org > group: gmane.comp.security.ids.hlbr > > > > > > > Yahoo! Grupos, um serviço oferecido por: > > PUBLICIDADE > > ________________________________ Links do Yahoo! Grupos > > > Para visitar o site do seu grupo na web, acesse: > http://br.groups.yahoo.com/group/hlbr/ > > Para sair deste grupo, envie um e-mail para: > [EMAIL PROTECTED] > > O uso que você faz do Yahoo! Grupos está sujeito aos Termos do Serviço do > Yahoo!. ----------- HLBR Newsgroup server: news.gmane.org group: gmane.comp.security.ids.hlbr Links do Yahoo! Grupos <*> Para visitar o site do seu grupo na web, acesse: http://br.groups.yahoo.com/group/hlbr/ <*> Para sair deste grupo, envie um e-mail para: [EMAIL PROTECTED] <*> O uso que você faz do Yahoo! Grupos está sujeito aos: http://br.yahoo.com/info/utos.html
