Jump to content
Калькуляторы

Вопрос по tcpdump

Есть сервер FreeBSD 8.2 x64 и пакетный фильтр pf.

Сервер дает интернет-доступ (через NAT) для некоторых пользователей, доступ ограниченный (http, https).

Некоторые веб-сервисы работают на нестандартных портах, но к ним тоже нужно дать доступ.

Как можно вычислить, к каким портам нужно предоставить доступ? tcpdump не показывает заблокированные пакеты.

Нужно либо временно отключать pf, либо в pf.conf добавлять слово log в основному блокирующему правилу и tcpdump-ом слушать интерфейс pflog.

Однако первое неприменимо, т.к. pf не только блокирует пакеты, но и натит клиентов, а второе требует слишком многих движений.

Может быть у tcpdump есть ключ, с помощью которого он будет перехватывать пакеты до pf?

Share this post


Link to post
Share on other sites

block return (вместо block drop) в ПФ используйте, а в tcpdump ищите tcp-rst пакеты и icmp пакеты (коды ихние я не помню, там спец код есть для таких случаев).

Share this post


Link to post
Share on other sites

Так ведь постоянным правилом я block return не оставлю.

А раз уж все равно конфигурацию нужно редактировать и возвращать обратно, чем block return лучше, чем block log all?

Share this post


Link to post
Share on other sites

Тем что ваши родные клиенты/сотрудники сразу получат отлуп и не будут по 10 минут ждать таймаута каждого соединения.

Это наружу дропать безвозвратно, а своим слать отлуп лучше.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.