Reglas Avanzadas 

Las reglas avanzadas son reglas que poseen mayor flexibilidad y son mas poderosas. Las mismas le permiten crear filtros complejos 

utilizando logica Booleana. La utilizacion de reglas avanzadas requiere un entendimiento basico de logica y matematicas, pero la 

sintaxis de las reglas es facil de comprender. 

Perspectiva General  

Para agregar una nueva regla, debera ingresar un nombre a eleccion en el campo Nombre, seleccionar la accion 

Capturar/Ignorar, ingresar una Formula utilizando la sintaxis descripta a continuacion, y hacer clic en Agregar /Editar. Su 

nueva regla sera agregada a la lista y se activara de forma inmediata. Puede agregar todas las reglas que desee, pero solo aquellas 

reglas que tienen marcado la casilla contigua al nombre de la regla estaran actualmente activas. Puede activar/desactivar reglas 

marcando/desmarcando las casillas correspondientes o eliminar completamente las reglas seleccionadas utilizando el boton 

Eliminar. Si mas de una regla esta activa, puede evaluar la regla combinada resultante haciendo clic en Evaluar. Por favor 

observe que m ltiples reglas activas estaran combinadas utilizando el operador logico OR, por ejemplo si tiene tres reglas activas, 

RULE1, RULE2, y RULE3, la regla resultante sera RULE1 OR RULE2 OR RULE3.  

Puede utilizar las reglas avanzadas en conjuncion con las reglas basicas descriptas en el capitulo previo, sin embargo, si se siente 

confortable con la logica booleana, es buena idea utilizar solamente reglas avanzadas, ya que ofrecen mayor flexibilidad. Las reglas 

basicas se combinan con reglas avanzadas utilizando el operador logico AND.  

Descripcion de la sintaxis  

dir

 Direccion del paquete. Los valores posibles son in (entrante), out (saliente), y pass (pasante).  

etherproto

 Protocolo Ethernet, el 13vo y 14vo Bytes del paquete. Los valores aceptables son numericos (ejemplo 

etherproto=0x0800 para IP) o alias utilizados com nmente (ejemplo etherproto=ARP, que es equivalente a 0x0806).  

ipproto

 Protocolo IP. Los valores aceptables son numericos (ejemplo ipproto!=0x06 para TCP) o alias utilizados com nmente 

(ejemplo ipproto=UDP, que es equivalente a 0x11).  

smac

 Direccion fisica de origen. Los valores aceptables de las direcciones fisicas se deben expresar en notacion hexadecimal 

(ejemplo smac=00:00:21:0A:13:0F) o alias definido por el usuario.  

dmac

 Direccion fisica de destino.  

sip

 Direccion IP de origen. Los valores aceptables son direcciones IP en notacion puntuada (e.g. sip=192.168.0.1), direcciones IP 

con comodines (e.g. sip!=*.*.*.255), direcciones de red y mascaras de subnet (e.g. sip=192.168.0.4/255.255.255.240 o 

sip=192.168.0.5/28), rangos de IP (e.g. sip from 192.168.0.15 to 192.168.0.18 o sip in 192.168.0.15 .. 192.168.0.18 ), o Alias 

definidos por el usuario.  

dip

 Direccion IP de destino.  

sport

 Puertos de origen para paquetes de TCP y UDP. Los valores aceptables son numericos (ejemplo sport=80 para HTTP), 

rangos (ejemplo sport from 20 to 50 o sport in 20..50 para cualquier n mero de Puerto entre 20 y 50) o alias definidos por el 

sistema operativo (ejemplo sport=ftp, que es equivalente a 21). Para la lista de alias soportados por su sistema operativo haga clic 

en Ver => Informacion de Referencia de Puertos 

dport

 Puerto de destino para los paquetes TCP y UDP.  

flag

 Indicador TCP. Los valores aceptables son numericos (ejemplo 0x18 para PSH ACK) o uno o varios de los siguientes 

caracteres: F (FIN), S (SYN), R (RST), P (PSH), A (ACK), y U (URG), o la clave has, que significa que el indicador contiene un valor 

cierto. Ejemplos de uso: flag=0x18, flag=SA, flag has F.