<div dir="ltr">Awesome, thank you. I'll try it out.<br></div><div class="gmail_extra"><br><div class="gmail_quote">On Thu, Jun 30, 2016 at 1:22 PM, Cooper F. Nelson <span dir="ltr"><<a href="mailto:cnelson@ucsd.edu" target="_blank">cnelson@ucsd.edu</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">See this article on monitoring VLAN tagged traffic:<br>
<br>
> <a href="http://taosecurity.blogspot.com/2008/12/bpf-for-ip-or-vlan-traffic.html" rel="noreferrer" target="_blank">http://taosecurity.blogspot.com/2008/12/bpf-for-ip-or-vlan-traffic.html</a><br>
<br>
This is how you want to structure your bpf filters, assuming you have<br>
three internal networks:<br>
<br>
not ((src net1 or net2 or net3) and (dst net1 or net2 or net3))<br>
<br>
What you are doing is still going pass traffic from the dst net to the<br>
src net.<br>
<br>
-Coop<br>
<div class="HOEnZb"><div class="h5"><br>
On 6/30/2016 8:31 AM, Chris Boley wrote:<br>
> Please bear in mind all traffic is VLAN tagged. I saw mentions on the pevma<br>
> blog page of specialized expressions for BPF filtering where VLANs were<br>
> concerned. I'm looking for some guidance.<br>
><br>
><br>
> I created a 'best guess' filter syntax and I'm sure it's very wrong.<br>
><br>
> I'm asking for someone to help me get going in the right direction on this:<br>
><br>
> Thanks in advance!!<br>
> My guess at the filter follows:<br>
><br>
> not((src net <a href="http://10.200.104.0/25" rel="noreferrer" target="_blank">10.200.104.0/25</a> and dst net <a href="http://10.200.104.192/28" rel="noreferrer" target="_blank">10.200.104.192/28</a>) or ( src net<br>
> <a href="http://10.200.104.192/28" rel="noreferrer" target="_blank">10.200.104.192/28</a> and dst net <a href="http://10.200.104.0/25" rel="noreferrer" target="_blank">10.200.104.0/25</a>))<br>
>     or<br>
>    (not ((vlan and src net <a href="http://10.200.104.0/25" rel="noreferrer" target="_blank">10.200.104.0/25</a> and dst net <a href="http://10.200.104.192/28" rel="noreferrer" target="_blank">10.200.104.192/28</a>)<br>
> or (vlan and src net <a href="http://10.200.104.192/28" rel="noreferrer" target="_blank">10.200.104.192/28</a> and dst net <a href="http://10.200.104.0/25)" rel="noreferrer" target="_blank">10.200.104.0/25)</a>))<br>
><br>
> Ideas?<br>
><br>
<br>
<br>
</div></div><span class="HOEnZb"><font color="#888888">--<br>
Cooper Nelson<br>
Network Security Analyst<br>
UCSD ITS Security Team<br>
<a href="mailto:cnelson@ucsd.edu">cnelson@ucsd.edu</a> x41042<br>
<br>
</font></span></blockquote></div><br></div>