Расширенные правила

Обзор

 

Расширенные правила являются мощным и гибким механизмом создания фильтров с помощью булевой логики. Требуются лишь элементарные знания математики и логики; синтаксис правил несложен для понимания.

 

На данной странице содержатся правила, созданные автоматически на основании данных со страниц Локальные сети, Игнорируемые сети или Локальные прокси-сервера. Такие правила имеют название Auto. Вы можете их применять, но не можете их редактировать или удалять.

 

Чтобы ввести новое правило, нажмите на кнопку Добавить. Появится диалог. В поле Имя правила введите название правила, из выпадающего списка выберите направление (Входящий/Исходящий), выберите действие (Считать/Игнорировать) и введите формулу, пользуясь нижеописанным синтаксисом.

 

У поля Формула есть контекстное меню, с помощью которого можно быстро и легко создать новые правила для трафика. Кликните правой кнопкой мыши и вы увидите меню со следующими пунктами:

 

Ввести – вставить ключевое слово или оператор из списка доступных ключевых слов и операторов или ввести псевдонимы для MAC-адресов, IP-адресов и номеров портов, которые хранятся в программе.

 

Ввести псевдоним – создать псевдоним для IP-адреса, MAC-адреса или номера порта, которые есть в формуле.

 

Отменить – отменить последнюю операцию.

 

Повторить – повторить операцию, которая была отменена.

 

Вырезать – копировать выделенный текст в буфер обмена и удалить его из редактируемой области.

 

Копировать – копировать выделенный текст в буфер обмена.

 

Вставить – вставить текст из буфера обмена.

 

Удалить – удалить выделенный текст.

 

Выделить все – выделить весь текст в поле Формула.

 

Ваше новое правило будет добавлено в список. Чтобы изменить последовательность колонок на странице тарифов, "перетащите" мышью заголовок колонки. Колонки можно спрятать, кликнув правой кнопкой мыши по заголовку и отметив те пункты, которые требуется скрыть. Записи можно отсортировать, кликнув на заголовок соответствующей колонки.

 

Вы можете добавить столько правил, сколько хотите, но помните, что активны лишь те правила, напротив которых стоит метка. Вы можете активировать/деактивировать правила, расставляя напротив них метки, или удалить правила с помощью кнопки Удалить. Вы можете просчитать результирующее объединенное правило, нажав на кнопку Результат. Помните, что активные правила взаимодействуют по логике "ИЛИ". Например, если у вас три активных правила - RULE1, RULE2 и RULE3 - результирующим правилом будет правило вида: RULE1 ИЛИ RULE2 ИЛИ RULE3. Чтобы активировать новые правила и внести изменения в старые, нажмите OK.

 

Имейте в виду, что для входящего и исходящего трафика действуют отдельные правила. Создавайте новые правила внимательно и задавайте нужное направление; в противном случае CommTraffic будет выдавать некорректные результаты.

 

Добавить - открыть диалог создания нового правила.

 

Изменить - модифицировать выбранное правило.

 

Включить – активировать неактивное правило.

 

Отключить – деактивировать активное правило.

 

Дублировать - создать копию выбранного правила.

 

Переименовать - переименовать выбранное правило.

 

Удалить - удалить выбранное правило.

 

Отменить удаление - восстановить ранее удаленное правило.

 

Копировать - копировать выбранную строку, ее часть или все записи в буфер обмена.

 

Открыть - открыть файл правил с диска. Можно также "перетащить" мышью файл на страницу правил, и он будет открыт.

 

Сохранить - сохранить правила на диск в форматах CommTraffic, HTML, XML, RTF, XLS или в текстовый файл.

 

Печать – открыть диалог печати.

 

Настройка – открыть диалог, в котором можно настроить внешний вид страницы правил.

 

 

Описание синтаксиса

 

etherproto – Протокол Ethernet (13-й и 14-й байты пакета). Допустимыми значениями являются числа (например,  etherproto=0x0800 соответствует протоколу IP) или известные аббревиатуры (например, etherproto=ARP, что соответствует  0x0806).

 

ipproto – Протокол IP. Допустимыми значениями являются числа (например, ipproto!=0x06 соответствует протоколу TCP) или известные аббревиатуры (например, ipproto=UDP, что соответствует 0x11).

 

smac – MAC источника. Допустимыми значениями являются MAC-адреса источников в шестнадцатеричном виде (например,  smac=00:00:21:0A:13:0F) или псевдонимы.

 

dmac – MAC получателя.

 

sip – IP-адрес источника. Допустимыми значениями являются IP-адреса, записанные через точку (например,  sip=192.168.0.1), IP-адреса с карт-бланшами (то есть, sip!=*.*.*.255),  сетевые адреса с масками подсетей (например, sip=192.168.0.4/255.255.255.240 или sip=192.168.0.5/28), диапазоны IP-адресов (т. е. sip from 192.168.0.15 to 192.168.0.18 или sip in 192.168.0.15 .. 192.168.0.18) или псевдонимы.

 

dip -  IP-адрес получателя.

 

sport – Номер порта-источника пакета TCP или UDP. Допустимыми значениями являются числа (например, sport=80 соответствует HTTP), диапазоны (то есть, sport from 20 to 50 или sport in 20..50 для любых портов в диапазоне от 20 до 50) или псевдонимы.

 

dport – Порт-получатель пакетов TCP или UDP.

 

str – Содержимое пакета. Задает условие, при котором пакет должен содержать определённую строку. Функция имеет три аргумента: образец поиска, местоположение, чувствительность к регистру. Первый аргумент – строка, например, 'GET'. Второй аргумент – число, показывающее смещение строки в пакете. Счёт начинается с нуля – первый байт пакета требуется искать, задавая смещение, равное 0. Чтобы искать строку в любом месте пакета, задайте смещение равным –1. Третий аргумент устанавливает чувствительность к регистру и может принимать значения false (без учёта регистра) или true (с учётом регистра). Второй и третий аргументы необязательны, по умолчанию имеют значения –1  и false соответственно (искать во всём пакете, без учёта регистра). Примеры: str ('GET',-1,false), str ('GET',-1), str ('GET').

 

hex - Содержимое пакета. Задает условие, что пакет должен содержать определённый шестнадцатеричный набор.  Функция имеет два аргумента: образец поиска и местоположение. Первый аргумент – 16-ричная величина, например, 0x4500. Второй аргумент – число, задающее смещение внутри пакета. Отсчёт ведется с нуля, т. е. первый байт пакета соответствует смещению, равному 0. Чтобы искать во всём пакете, задайте смещение равным –1. Второй аргумент необязателен, по умолчанию имеет значение –1  (искать во всём пакете). Пример: hex (0x04500, 14), hex (0x4500, 0x0E), hex (0x010101).

 

Описанные выше ключевые слова могут использоваться со следующими операторами:

 

and – конъюнкция, булево И.

or - дизъюнкция, булево ИЛИ.

not – булево отрицание.

= - арифметическое равенство.

!= - арифметическое неравенство.

<> - арифметическое неравенство.

> - арифметическое условие "больше, чем".

< - арифметическое условие "меньше, чем".

( ) – скобки, управляющие порядком вычисления правил.

 

Числа могут быть в десятичной или шестнадцатеричной системе. Для указания на шестнадцатеричную нотацию, используйте 0x перед значением, например, 15  и 0x0F задают одно и тоже число.

 

Примеры

 

Ниже будут показаны примеры использования синтаксиса правил. Каждое правило сопровождается комментариями. Комментарии отделены символами "//".

 

Пример 1

Описанный выше набор правил означает, что адреса в диапазоне 192.168.1.0/255.255.255.0 относятся к локальным хостам.

 

Пример 2

 

Эти правила означают, что компьютер с IP-адресом 192.168.5.17 является прокси-сервером с портом 3128 и его трафик не является локальным для остальных хостов локальной сети.

 

Пример 3

 

Этот набор правил указывает программе игнорировать трафик из диапазона адресов 192.168.1.0/255.255.255.0.