Вот открытый списог сингтур: https://rules.emergingthreats.net/open/suricata/rules/ Также имеется скрипт, который генерирует правила на основе сайтов из реестра запрещённых сайтов в РФ.
Задача: во весь список открытых сингтур надо как то добавить set_nfq_mark:<марка на основе and от маски>/ffffffff;
План маркировки:
0x2/0xfe - zapret-gov rst mark
0x4/0xfe - марка для исключений
0x6/0xfe - Вирусные сингтуры
0x8/0xfe - Статистика для модифицированных пакетов