alibek Опубликовано 4 марта, 2014 · Жалоба Есть сервер FreeBSD 8.2 x64 и пакетный фильтр pf. Сервер дает интернет-доступ (через NAT) для некоторых пользователей, доступ ограниченный (http, https). Некоторые веб-сервисы работают на нестандартных портах, но к ним тоже нужно дать доступ. Как можно вычислить, к каким портам нужно предоставить доступ? tcpdump не показывает заблокированные пакеты. Нужно либо временно отключать pf, либо в pf.conf добавлять слово log в основному блокирующему правилу и tcpdump-ом слушать интерфейс pflog. Однако первое неприменимо, т.к. pf не только блокирует пакеты, но и натит клиентов, а второе требует слишком многих движений. Может быть у tcpdump есть ключ, с помощью которого он будет перехватывать пакеты до pf? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 4 марта, 2014 · Жалоба block return (вместо block drop) в ПФ используйте, а в tcpdump ищите tcp-rst пакеты и icmp пакеты (коды ихние я не помню, там спец код есть для таких случаев). Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 4 марта, 2014 · Жалоба Так ведь постоянным правилом я block return не оставлю. А раз уж все равно конфигурацию нужно редактировать и возвращать обратно, чем block return лучше, чем block log all? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 4 марта, 2014 · Жалоба Тем что ваши родные клиенты/сотрудники сразу получат отлуп и не будут по 10 минут ждать таймаута каждого соединения. Это наружу дропать безвозвратно, а своим слать отлуп лучше. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 4 марта, 2014 · Жалоба Так это не свои, это пользователи хотспота. Хотя нужно проверить, может и в самом деле лучше. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...