О применении данного документа в отношении федерального государственного контроля в области связи см. Распоряжение Правительства РФ от 15.12.2020 N 3340-р.
Примечание: любой из представленных в данном разделе фильтров может быть предварен классификатором протокола (ip, ip6)
src host <адрес>
Адрес отправителя (IPv4 или IPv6) равен заданному
src host 1.2.3.4
dst host <адрес>
Адрес получателя (IPv4 или IPv6) равен заданному
dst host 2.3.4.5
host <адрес>
Адрес отправителя или адрес получателя (IPv4 или IPv6) равен заданному
ip host 10.0.0.2
src net <адрес>
Адрес отправителя (IPv4 или IPv6) входит в заданную подсеть
src net 10.0.0.0/24
dst net <адрес>
Адрес получателя (IPv4 или IPv6) входит в заданную подсеть
dst net 172.16.0.0/16
net <адрес>
Адрес отправителя или адрес получателя (IPv4 или IPv6) входит в заданную подсеть
net 10.0.1.0/24
Выбор пакетов по MAC-адресам хостов
ether src <адрес>
MAC-адрес отправителя равен заданному
ether src 11:22:33:44:55:66
ether dst <адрес>
MAC-адрес получателя равен заданному
ether dst 11:22:33:44:55:67
ether host <адрес>
MAC-адрес отправителя или адрес получателя равен заданному
ether host 11:22:33:44:55:68
Выбор пакетов по меткам VLAN
vlan <метка>
Метка VLAN равна заданной. Если метка не указана, отбираются все пакеты, в которых есть заголовок VLAN
vlan 200
Выбор пакетов по меткам MPLS
mpls <метка>
Метка MPLS равна заданной. Если метка не указана, отбираются все пакеты, в которых есть заголовок MPLS
mpls 100
Выбор пакетов по меткам VLAN
vlan <метка>
Метка VLAN равна заданной. Если метка не указана, отбираются все пакеты, в которых есть заголовок VLAN
vlan 200
Выбор пакетов по номерам портов
Примечание: любой из представленных в данном разделе фильтров может быть предварен классификатором протокола (tcp, udp, sctp)
src port <порт>
Порт отправителя равен заданному
src port 533
dst port <порт>
Порт получателя равен заданному
dst port 80
port <порт>
Порт отправителя или порт получателя равен заданному
udp port 455
src portrange <диапазон>
Порт отправителя входит в заданный диапазон (включая границы диапазона)
src portrange 1000-2000
dst portrange <диапазон>
Порт получателя входит в заданный диапазон (включая границы диапазона)
tcp dst portrange 80-81
portrange <диапазон>
Порт отправителя или порт получателя входят в заданный диапазон (включая границы диапазона)
tcp portrange 80-81
Выбор пакетов по протоколам
ether proto <протокол>
Выбор пакетов по коду протокола Ethernet, идентификатор протокола может быть как числом, так и одной из строк ip, ip6, vlan, mpls, pppoe
ether proto mpls
ip proto <протокол>
Выбор пакетов по коду транспортного протокола в IPv4-заголовке (согласно RFC1700), идентификатор протокола может быть как числом, так и одной из строк ip, ip6, tcp, udp, sctp.
ip proto tcp
ip proto 17
ip6 proto <протокол>
Выбор пакетов по коду транспортного протокола в IPv6-заголовке (согласно RFC1700), идентификатор протокола может быть как числом, так и одной из строк ip, ip6, tcp, udp, sctp.
ip6 proto udp
ip6 proto 6
8. Составные правила фильтрации.
Атомарные правила фильтрации могут быть объединены в составные фильтры с помощью следующих логических операций:
для бинарных операций (логические "И", "ИЛИ"):
expression1 operation expression2
для унарных операций (логическое "НЕ"):
operation expression1
где:
expression1, expression2 - объединяемые правила фильтрации, могут быть атомарными правилами и составными правилами;
operation - логическая операция:
логическое "И": && либо and;
логическое "ИЛИ": || либо or;
отрицание: ! либо not;
отрицание имеет наивысший приоритет; остальные операции вычисляются слева направо и имеют одинаковый приоритет; для изменения приоритета необходимо использовать скобки;