alibek Posted March 4, 2014 Есть сервер FreeBSD 8.2 x64 и пакетный фильтр pf. Сервер дает интернет-доступ (через NAT) для некоторых пользователей, доступ ограниченный (http, https). Некоторые веб-сервисы работают на нестандартных портах, но к ним тоже нужно дать доступ. Как можно вычислить, к каким портам нужно предоставить доступ? tcpdump не показывает заблокированные пакеты. Нужно либо временно отключать pf, либо в pf.conf добавлять слово log в основному блокирующему правилу и tcpdump-ом слушать интерфейс pflog. Однако первое неприменимо, т.к. pf не только блокирует пакеты, но и натит клиентов, а второе требует слишком многих движений. Может быть у tcpdump есть ключ, с помощью которого он будет перехватывать пакеты до pf? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Ivan_83 Posted March 4, 2014 block return (вместо block drop) в ПФ используйте, а в tcpdump ищите tcp-rst пакеты и icmp пакеты (коды ихние я не помню, там спец код есть для таких случаев). Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alibek Posted March 4, 2014 Так ведь постоянным правилом я block return не оставлю. А раз уж все равно конфигурацию нужно редактировать и возвращать обратно, чем block return лучше, чем block log all? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Ivan_83 Posted March 4, 2014 Тем что ваши родные клиенты/сотрудники сразу получат отлуп и не будут по 10 минут ждать таймаута каждого соединения. Это наружу дропать безвозвратно, а своим слать отлуп лучше. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alibek Posted March 4, 2014 Так это не свои, это пользователи хотспота. Хотя нужно проверить, может и в самом деле лучше. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...