Службы в правилах фильтрации трафика по содержимому

В правилах фильтрации трафика по содержимому могут быть использованы только службы типа протокола RAW (подробнее см. пункт "Службы). Службы для остальных типов протоколов не могут быть добавлены к правилу фильтрации по содержимому.

Особенности конфигурации:

1. Если правило фильтрации трафика по содержимому исследует передаваемые от Источника пакеты только по добавленным в список Службы RAW-фильтрам, то достаточно одного правила фильтрации трафика по содержимому.

Например, для фильтрации всего трафика на предмет наличия фрагментированных пакетов достаточно будет добавить одно активное правило фильтрации трафика по содержимому, с пустыми вкладками Источник и Протоколы, где во вкладке Службы указана ссылка на службу фильтрации фрагментированных пакетов (см. пункт "Служба для запрета фрагментированных пакетов").

2. Если требуется выполнить фильтрацию трафика по содержимому одновременно и по Службам, и по Протоколу, то потребуется создать два активных правила фильтрации трафика по содержимому.

В первом правиле требуется указать RAW-службу, по которой будет выполняться фильтрация. При этом во вкладке Протоколы требуется указать другой протокол (не тот, по которому требуется выполнить фильтрацию!). Например, если требуется исследование и фильтрация данных протокола SSH, то в первом правиле указывается любой другой из списка протоколов, например AFP.

Во втором правиле требуется во вкладке Протоколы указать протокол, по которому совместно со службой RAW будет выполняться фильтрация (SSH из примера выше). При этом вкладка Службы оставляется пустой, а во вкладке Источник требуется указать хотя бы один IP-адрес (рекомендуется брать из списка зарезервированных для специального использования IP-адресов, которые не должны назначаться сетевому оборудованию, например 198.051.100.1).

Приоритет этих двух правил относительно друг друга не важен.