Использую FreeBSD6.2/pf firewall.

Задача состоит в том, чтобы при передачи данных с определенных хостов в локальной сети происходила проверка содержимого пакета(squid неподходит)

т.е. нужно что-то типа связки pf + ngrep.

Например:

Если пакет исходит от 192.168.0.55 и содержимое этого пакета содержит "12345", то блокировать его и заносить запись в лог.

Если пакет исходит от 192.168.0.56 на порт 53, а содержимое не попадает под фильтр www.1.com || *.2.com - блокировать пакет, либо следующий http пакет от этого хоста  заварачивать на прокси с авторизацией.

Если пакет исходит от 192.168.0.57 на порт 8080 адреса 195.5.5.5, то проверять возвращаемые данные на наличие слова sex, porno и блокировать ответ.

Необходимо работать по любым портам, определяя где ssh и т.д.

• Firewall фильтр по содержимому пакета,newocom, 23:11 , 30-Сен-07
  • Firewall фильтр по содержимому пакета,adasa, 16:55 , 02-Окт-07

>[оверквотинг удален]
>блокировать его и заносить запись в лог.
>
>Если пакет исходит от 192.168.0.56 на порт 53, а содержимое не попадает
>под фильтр www.1.com || *.2.com - блокировать пакет, либо следующий http
>пакет от этого хоста  заварачивать на прокси с авторизацией.
>
>Если пакет исходит от 192.168.0.57 на порт 8080 адреса 195.5.5.5, то проверять
>возвращаемые данные на наличие слова sex, porno и блокировать ответ.
>
>Необходимо работать по любым портам, определяя где ssh и т.д.

Да, кстати забыл сказать, что snort_inline тоже неподходит

[...]
>>Необходимо работать по любым портам, определяя где ssh и т.д.
>
>Да, кстати забыл сказать, что snort_inline тоже неподходит

ng_bpf подойдет?