[alibek]

Есть сервер FreeBSD 8.2 x64 и пакетный фильтр pf.

Сервер дает интернет-доступ (через NAT) для некоторых пользователей, доступ ограниченный (http, https).

Некоторые веб-сервисы работают на нестандартных портах, но к ним тоже нужно дать доступ.

Как можно вычислить, к каким портам нужно предоставить доступ? tcpdump не показывает заблокированные пакеты.

Нужно либо временно отключать pf, либо в pf.conf добавлять слово log в основному блокирующему правилу и tcpdump-ом слушать интерфейс pflog.

Однако первое неприменимо, т.к. pf не только блокирует пакеты, но и натит клиентов, а второе требует слишком многих движений.

Может быть у tcpdump есть ключ, с помощью которого он будет перехватывать пакеты до pf?

[Ivan_83]

block return (вместо block drop) в ПФ используйте, а в tcpdump ищите tcp-rst пакеты и icmp пакеты (коды ихние я не помню, там спец код есть для таких случаев).

[alibek]

Так ведь постоянным правилом я block return не оставлю.

А раз уж все равно конфигурацию нужно редактировать и возвращать обратно, чем block return лучше, чем block log all?

[Ivan_83]

Тем что ваши родные клиенты/сотрудники сразу получат отлуп и не будут по 10 минут ждать таймаута каждого соединения.

Это наружу дропать безвозвратно, а своим слать отлуп лучше.

[alibek]

Так это не свои, это пользователи хотспота.

Хотя нужно проверить, может и в самом деле лучше.