Использую FreeBSD6.2/pf firewall.Задача состоит в том, чтобы при передачи данных с определенных хостов в локальной сети происходила проверка содержимого пакета(squid неподходит)
т.е. нужно что-то типа связки pf + ngrep.
Например:
Если пакет исходит от 192.168.0.55 и содержимое этого пакета содержит "12345", то блокировать его и заносить запись в лог.
Если пакет исходит от 192.168.0.56 на порт 53, а содержимое не попадает под фильтр www.1.com || *.2.com - блокировать пакет, либо следующий http пакет от этого хоста заварачивать на прокси с авторизацией.
Если пакет исходит от 192.168.0.57 на порт 8080 адреса 195.5.5.5, то проверять возвращаемые данные на наличие слова sex, porno и блокировать ответ.
Необходимо работать по любым портам, определяя где ssh и т.д.
>[оверквотинг удален]
>блокировать его и заносить запись в лог.
>
>Если пакет исходит от 192.168.0.56 на порт 53, а содержимое не попадает
>под фильтр www.1.com || *.2.com - блокировать пакет, либо следующий http
>пакет от этого хоста заварачивать на прокси с авторизацией.
>
>Если пакет исходит от 192.168.0.57 на порт 8080 адреса 195.5.5.5, то проверять
>возвращаемые данные на наличие слова sex, porno и блокировать ответ.
>
>Необходимо работать по любым портам, определяя где ssh и т.д.Да, кстати забыл сказать, что snort_inline тоже неподходит
[...]
>>Необходимо работать по любым портам, определяя где ssh и т.д.
>
>Да, кстати забыл сказать, что snort_inline тоже неподходитng_bpf подойдет?