AWS防火墙Suricata规则配置无效

【以下的问题经过翻译处理】 我正在尝试了解AWS的Suricata规则是如何工作的。使用下面这两个规则，所有网站都可以正常工作，但我只希望谷歌网站可以访问。我有什么遗漏吗？我理解顺序是通过，然后是阻止。我添加了drop tcp with flow规则，以便可以评估tls.sni，从而使通过规则生效。它似乎有效，但我期望所有其他不匹配的站点也不能访问（我尝试了DOMAIN LIST规则，但那也不起作用）

注意-使用默认顺序，没有无状态规则，转发frag和非frag数据包已配置，INT网络转发到FW子网，然后转发到NAT子网，然后转发到IGW。 HOME_NET是VPC CIDR，EXTERNAL_NET是0.0.0.0/0

规则1： pass tls $HOME_NET any -> $EXTERNAL_NET any（tls.sni; content:“ .google.com”; nocase; endswith; msg：“pp-允许访问HTTPS”; sid：1000001; rev：1;）

规则2： drop tcp $HOME_NET any -> $EXTERNAL_NET any（flow: established，to_server; msg：“pp-拒绝所有其他TCP流量”; sid：1000003; rev：1;