Estoy escribiendo una regla para suricata que bloqueará la posibilidad de ingresar a uno de los sitios web, por ejemplo xyz.com (en lugar de Facebook, porque con Facebook hay algunos problemas).
Estoy haciendo esto de la siguiente manera:
drop tcp any any -> any any (msg:"facebook is blocked"; content:"facebook.com"; http_header; nocase; classtype:policy-violation; sid:1;)
Lo que quiero hacer es bloquear solo el sitio web. Y como lo hago ahora, la regla también bloquea, por ejemplo, las solicitudes de google que contienen la frase "facebook".
¿Puede alguien aconsejarme cómo debo cambiar mi regla? Estaba pensando limitarme solo a las direcciones IP de un sitio web en particular, pero no funciona correctamente o no sé cómo hacerlo correctamente en general. ¿Es suficiente cambiar "cualquiera" en el principio de la regla para la dirección IP de facebook? Pero algunos servidores tienen más de una dirección IP. ¿Cómo puedo obtener la dirección IP de facebook dentro de la regla?
editar:
¿Otra pregunta más es cómo puedo cambiar la cadena "abc" por "***" dentro de la regla?