alibek Posted March 4, 2014 Posted March 4, 2014 Есть сервер FreeBSD 8.2 x64 и пакетный фильтр pf. Сервер дает интернет-доступ (через NAT) для некоторых пользователей, доступ ограниченный (http, https). Некоторые веб-сервисы работают на нестандартных портах, но к ним тоже нужно дать доступ. Как можно вычислить, к каким портам нужно предоставить доступ? tcpdump не показывает заблокированные пакеты. Нужно либо временно отключать pf, либо в pf.conf добавлять слово log в основному блокирующему правилу и tcpdump-ом слушать интерфейс pflog. Однако первое неприменимо, т.к. pf не только блокирует пакеты, но и натит клиентов, а второе требует слишком многих движений. Может быть у tcpdump есть ключ, с помощью которого он будет перехватывать пакеты до pf? Вставить ник Quote
Ivan_83 Posted March 4, 2014 Posted March 4, 2014 block return (вместо block drop) в ПФ используйте, а в tcpdump ищите tcp-rst пакеты и icmp пакеты (коды ихние я не помню, там спец код есть для таких случаев). Вставить ник Quote
alibek Posted March 4, 2014 Author Posted March 4, 2014 Так ведь постоянным правилом я block return не оставлю. А раз уж все равно конфигурацию нужно редактировать и возвращать обратно, чем block return лучше, чем block log all? Вставить ник Quote
Ivan_83 Posted March 4, 2014 Posted March 4, 2014 Тем что ваши родные клиенты/сотрудники сразу получат отлуп и не будут по 10 минут ждать таймаута каждого соединения. Это наружу дропать безвозвратно, а своим слать отлуп лучше. Вставить ник Quote
alibek Posted March 4, 2014 Author Posted March 4, 2014 Так это не свои, это пользователи хотспота. Хотя нужно проверить, может и в самом деле лучше. Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.