Jump to content
Калькуляторы

Вопрос по tcpdump

Есть сервер FreeBSD 8.2 x64 и пакетный фильтр pf.

Сервер дает интернет-доступ (через NAT) для некоторых пользователей, доступ ограниченный (http, https).

Некоторые веб-сервисы работают на нестандартных портах, но к ним тоже нужно дать доступ.

Как можно вычислить, к каким портам нужно предоставить доступ? tcpdump не показывает заблокированные пакеты.

Нужно либо временно отключать pf, либо в pf.conf добавлять слово log в основному блокирующему правилу и tcpdump-ом слушать интерфейс pflog.

Однако первое неприменимо, т.к. pf не только блокирует пакеты, но и натит клиентов, а второе требует слишком многих движений.

Может быть у tcpdump есть ключ, с помощью которого он будет перехватывать пакеты до pf?

Share this post


Link to post
Share on other sites

block return (вместо block drop) в ПФ используйте, а в tcpdump ищите tcp-rst пакеты и icmp пакеты (коды ихние я не помню, там спец код есть для таких случаев).

Share this post


Link to post
Share on other sites

Так ведь постоянным правилом я block return не оставлю.

А раз уж все равно конфигурацию нужно редактировать и возвращать обратно, чем block return лучше, чем block log all?

Share this post


Link to post
Share on other sites

Тем что ваши родные клиенты/сотрудники сразу получат отлуп и не будут по 10 минут ждать таймаута каждого соединения.

Это наружу дропать безвозвратно, а своим слать отлуп лучше.

Share this post


Link to post
Share on other sites

Так это не свои, это пользователи хотспота.

Хотя нужно проверить, может и в самом деле лучше.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this