Пакет, который подходит под описание правила Block, сбрасыватеся ядром ОС, до того как его увидят такие утилиты как pflow, snort, trafshow и прочие. Именно поэтому я для себя знаю только один способ посмотреть пакет, который прошёл по правилу block - в конфиге pf для блок правил использовать опцию log. Но это наверно не то, что тебе нужно.
Суть в том, что правило block на то и есть, чтобы пакет, после встречи со своим правилом блокировки не попадал больше ни в какие flows и сбрасывался ядром.
появились новые вопросы- наткнулся на старый и порешать его взялся %) пришёл к такому простому решению: дубликат с блока(block in all dup-to (..)) на.. ну например на дополнительный lo, затем уже pass на этот lo с генерацией pflow. критика?
зы: выглядит как-то так
block in on ste0: 192.168.200.20 > 213.180.204.8: icmp: echo request # запрещённый пинг
pass out on lo1: 192.168.200.20 > 213.180.204.8: icmp: echo request # дубликат
pass in on lo1: 192.168.200.20 > 213.180.204.8: icmp: echo request # ..и его последствия..
pass out on pppoe0: 192.168.200.20 > 213.180.204.8: icmp: echo request # ..но это решаемо
ззы: в самый верх(дубликаты полноценно проходят фильтрацию)
pass out quick on lo1 keep state (pflow) # этого достаточно
block drop quick on lo1 # отсекаем лишнее
Пакет, который
Пакет, который подходит под описание правила Block, сбрасыватеся ядром ОС, до того как его увидят такие утилиты как pflow, snort, trafshow и прочие. Именно поэтому я для себя знаю только один способ посмотреть пакет, который прошёл по правилу block - в конфиге pf для блок правил использовать опцию log. Но это наверно не то, что тебе нужно.
Суть в том, что правило block на то и есть, чтобы пакет, после встречи со своим правилом блокировки не попадал больше ни в какие flows и сбрасывался ядром.
никак. либо
никак. либо внешний агент, либо агент который слушает интерфейс через pcap в promisc-mode
в том то и дело,
в том то и дело, что даже через pcap и в любом состоянии интерфейса не получится увидеть пакет, встретившийся с правилом block
появились
появились новые вопросы- наткнулся на старый и порешать его взялся %) пришёл к такому простому решению: дубликат с блока(block in all dup-to (..)) на.. ну например на дополнительный lo, затем уже pass на этот lo с генерацией pflow. критика?
зы: выглядит как-то так
block in on ste0: 192.168.200.20 > 213.180.204.8: icmp: echo request # запрещённый пинг
pass out on lo1: 192.168.200.20 > 213.180.204.8: icmp: echo request # дубликат
pass in on lo1: 192.168.200.20 > 213.180.204.8: icmp: echo request # ..и его последствия..
pass out on pppoe0: 192.168.200.20 > 213.180.204.8: icmp: echo request # ..но это решаемо
ззы: в самый верх(дубликаты полноценно проходят фильтрацию)
pass out quick on lo1 keep state (pflow) # этого достаточно
block drop quick on lo1 # отсекаем лишнее