Sto scrivendo una regola per suricata che bloccherà la possibilità di inserire uno dei siti Web ad esempio xyz.com (invece di facebook, perché con facebook ci sono alcuni problemi).
Lo faccio in questo modo:
drop tcp any any -> any any (msg:"facebook is blocked"; content:"facebook.com"; http_header; nocase; classtype:policy-violation; sid:1;)
Quello che voglio fare è bloccare solo il sito web. E nel modo in cui lo faccio ora, la regola sta anche bloccando ad esempio le richieste a google che contengono la frase "facebook".
Qualcuno potrebbe consigliarmi come dovrei cambiare la mia regola? Stavo pensando di limitare solo agli indirizzi IP di un determinato sito Web, ma non funziona correttamente o non so come farlo correttamente nella regola. È sufficiente cambiare "qualsiasi" all'inizio della regola per l'indirizzo IP di Facebook? Ma alcuni server hanno più di un indirizzo IP. Come posso ottenere l'indirizzo IP di facebook nella regola?
modifica:
Un'altra domanda è come posso cambiare la stringa "abc" per "***" all'interno della regola?