Протокол REGEXP в службах |
Протокол REGEXP в службах предназначен для установки произвольных фильтров на основе символьных строк и регулярных выражений. Фильтр протокола REGEXP исследует наличие символьной строки или регулярных выражений в передаваемом пакете, начиная с IP-заголовка и заканчивая передаваемыми данными прикладного протокола. При выборе в добавлении/изменении службы типа протокола REGEXP появляется блок со списком регулярных выражений, по умолчанию пустой: В список "Регулярные выражения" службы должны быть добавлены символьные строки или регулярные выражения, которые межсетевой экран будет искать в IP-пакете, начиная с IP-заголовка и заканчивая данными прикладного протокола. Для добавления новой символьной строки или регулярного выражения в список службы нажмите кнопку "Добавить" или клавишу <Ins>. В появившемся окне требуется указать следующие опции: Поле ввода под названием окна Добавить - символьную строку или регулярное выражение, обязательная опция. Поле не должно быть пустым. Именно на наличие в IP-пакете указанной в поле символьной строке/регулярном выражении межсетевой экран будет исследовать передаваемые пакеты. Количество символов в поле ограничено 1024. Символьная строка ищется в кодировке cp866. Если требуется искать символьную строку в другой кодировке, то следует использовать запись в кодах Unicode через символ "\u" с включенной опцией Регулярное выражение. Например, для поиска сочетания латинской буквы А с латинской буквой B (символьной строки AB) следует написать в поле значение "\u0041\u0042". Пакеты от клиента - опция, указывает на то, что символьную строку/регулярное выражение стоит искать только в пакетах, передающихся от инициатора соединения (клиенту) к принимающей соединение стороне (сервера). Пакеты от сервера - опция, указывает на то, что символьную строку/регулярное выражение стоит искать только в пакетах, передающихся от принимающей соединение стороны (сервера) к инициатору соединения (клиенту). ОБРАТИТЕ ВНИМАНИЕ!: должна быть задействована хотя бы одна из опций Пакеты от клиента или Пакеты от сервера (могут быть задействованы обе)! Строка с учетом регистра - необязательная опция. Указывает на то, что в анализируемой символьной строке важен регистр (прописные или ЗАГЛАВНЫЕ символы). Регулярное выражение - необязательная опция. Указывает на то, что в поле ввода указана не символьная строка, а регулярное выражение. Используются регулярные выражения библиотеки glibc (подробнее можно посмотреть в официальной документации на регулярные выражения glibc, https://www.gnu.org/software/libc/manual/html_node/Regular-Expressions.html). Включение опции Регулярное выражение отключает опцию Строка с учетом регистра. Для выхода и возвращения в окно "Добавить службу" с сохранением выполненных настроек, нажмите кнопку <Сохранить (F2)> или клавишу <F2>. Для выхода из окна и без внесения в конфигурацию сделанных изменений, нажмите кнопку <Отмена> или клавишу <Esc>. После выхода с сохранением выполненных настроек, в списке "Регулярные выражения" окна Добавить службу появится новая запись: Новая запись содержит следующие условные обозначения: Символ "<" - указатель на включенную опцию Пакеты от клиента; Символ ">" - указатель на включенную опцию Пакеты от сервера; Символы "cS" - указатель на включенную опцию Строка с учетом регистра; Символы "??" - указатель на включенную опцию Регулярное выражение; Текст после условных обозначений - символьная строка или регулярное выражение записи списка. В одну службу с типом протокола REGEXP можно добавить 255 записей символьных строк или регулярных выражений. В этом случае будет анализироваться наличие в IP-пакете хотя бы одной из перечисленных символьных строк/регулярных выражений. Для удаления выбранной курсором записи нажмите клавишу <Del>. Применение протокола REGEXP для частично или полной блокировки приложений. Фильтр на основе протокола REGEXP может быть использован для частичной или полной блокировки прикладного программного обеспечения, которое использует в сетевых взаимодействиях характерный для него идентификатор на основе символьной строки. Например: Для блокировки сетевой работы браузера Mozilla Firefox следует создать следующие два активных правила фильтрации трафика по содержимому: 1) правило с основным действием Drop или Reject, протоколом HTTP и службой REGEXP со следующими параметрами: 2) правило с основным действием Drop или Reject, протоколом FTP c дополнительным анализом по наличию FTP-запроса "OPTS": Для блокировки сетевой работы браузера Google Chrome следует создать следует создать следующие два активных правила фильтрации трафика по содержимому: 1) правило с основным действием Drop или Reject, протоколом HTTP и службой REGEXP со следующими параметрами: 2) правило с основным действием Drop или Reject, протоколом FTP c дополнительным анализом по наличию FTP-запроса "SIZE": Примеры для частичной блокировки работы приложения: Для частичной блокировки сетевой работы почтового клиента Dreammail, запрета работы по протоколу SMTP, следует создать активное правило трафика межсетевого экрана с запретительным основным действием (Drop или Reject) и службой REGEXP со следующими параметрами: Для частичной блокировки сетевой работы почтового клиента Thunderbird, запрета работы по протоколу SMTP, следует создать активное правило трафика межсетевого экрана с запретительным основным действием (Drop или Reject) и службой REGEXP со следующими параметрами: |