В статье "Как работает tcpdump: ассемблер BPF; фильтрация с ng_bpf на FreeBSD (http://nuclight.livejournal.com/124989.html)" подробно рассмотрен процесс построения BPF-правила, отбирающего пакеты по некоторому критерию. В дальнейшем созданное правило можно использовать в ng_bpf для организации фильтрации в нестандартных ситуациях, в частности приведен пример (http://nuclight.livejournal.com/125372.html) блокирования протокола uTP внутри туннеля PPTP GRE.

URL: http://nuclight.livejournal.com/124989.html
Новость: http://www.opennet.me/opennews/art.shtml?num=25733

• Построение BPF-правил для фильтрации в ng_bpf во FreeBSD,Canada, 04:21 , 10-Мрт-10
• Построение BPF-правил для фильтрации в ng_bpf во FreeBSD,Myc, 10:36 , 10-Мрт-10
• Построение BPF-правил для фильтрации в ng_bpf во FreeBSD,terminus, 11:57 , 10-Мрт-10
  • Построение BPF-правил для фильтрации в ng_bpf во FreeBSD,А, 12:10 , 10-Мрт-10
• Построение BPF-правил для фильтрации в ng_bpf во FreeBSD,Аноним, 12:51 , 10-Мрт-10
  • Построение BPF-правил для фильтрации в ng_bpf во FreeBSD,XoRe, 13:20 , 10-Мрт-10
    • Построение BPF-правил для фильтрации в ng_bpf во FreeBSD,nuclight, 13:35 , 10-Мрт-10
      • Построение BPF-правил для фильтрации в ng_bpf во FreeBSD,XoRe, 15:30 , 10-Мрт-10
• Построение BPF-правил для фильтрации в ng_bpf во FreeBSD,Ыукпун, 13:39 , 10-Мрт-10
  • Построение BPF-правил для фильтрации в ng_bpf во FreeBSD,AdVv, 23:45 , 11-Мрт-10
    • Построение BPF-правил для фильтрации в ng_bpf во FreeBSD,nuclight, 14:40 , 23-Мрт-10

Респект и уважуха Nuclight'у - предмет он знает отлично!

Респект и уважуха Макиму - OpenNet первый ресурс который не скопипастил а дал прямой линк на оригинал!

PS: А некоторые ... ммм ... индивиды, еще троку дней назад казавшиеся нормальными людьми, как последние поцы скопипастили без ссылок на оригинал, с гнилой отмазкой "нашел где-то в интернете и выложил у себя чтоб не забыть" ... ссылку на поца давать не буду, оно само на днях вылазило :(

Любопытное чтиво.

К сожалению применение таких вещей не доступно массам. Я например вряд ли смогу когда-нить осилить подобные трюки...

Вот бы для стандартного ipfw или netgraph готовых наборов в виде правил или нод для фильтрации конкретных L7 протоколов. =(

Не получится так, не только содержимое пакетов анализировать нужно для полноценного L7.

о господи, я еще могу понять програминг на асме, но правила для файрвола ассемблять - это перебор.

>о господи, я еще могу понять програминг на асме, но правила для
>файрвола ассемблять - это перебор.

http://citrin.ru/freebsd:ng_ipfw_ng_bpf

Вот тут есть программка для генерации таких вещей.

Вы невнимательно читали пост. В нём точно такие же выражения для tcpdump (в скрипт), что принимает и программка citrin'а.

>Вы невнимательно читали пост. В нём точно такие же выражения для tcpdump
>(в скрипт), что принимает и программка citrin'а.

Да, невнимательно.
Я понял про опцию -d в tcpdump.

автор ковырял нешифрованный gre траффик?

Да, мне тоже интересен этот вопрос - что делать с шифрованным pptp ?

Ничего, разве что резать целиком. У PC-роутеров с расшифровкой транзитных соединений проц не справится, поэтому и средств таких даже не делают.