--- Em [email protected], "edu_estouro" <[EMAIL PROTECTED]> escreveu > > Caros Colegas, > > Estou fazendo uma regra e surgiu 2 duvidas, por exemplo abaixo > > <rule> > ip dst(firewall) > tcp dst(any) --> aqui eu quero adicionar todas as portas, o parametro > any, para indicar todas as portas está certo? > > </rule>
Basta não colocar o tcp dst... <rule> ip dst(firewall) </rule> > como eu faço para criar regras baseado no Snort? > exemplo : > <snort> > ip dst (firewall) > tcp dst (22) > tcp content (|FF FF FF 00 00|) > msg: bla bla > </snort> > Seria desse jeito? Não.. você teria que resescrever a regra no formato HLBR. <rule> ip dst(firewall) tcp dst(22) tcp content (|FF FF FF 00 00|) message=Algum ataque... action=action1 </rule>
