https://www.opennet.ru/openforum/vsluhforumID10/4170.html Freebsd 7.1, pf. Правилом перебросил rdp на внутренюю машину в сети. Работает все замечательно ... Хотелось бы логировать кто (ip) и когда заходил или пробывал заходить на rdp. Возможно ли это ?<br> https://www.opennet.ru/openforum/vsluhforumID10/4170.html#7 Fri, 13 Mar 2009 07:20:12 GMT &gt;&gt;&gt;наверно очень трудно составить правило отлавливающее только первый пакет, его и логировать <br>&gt;&gt;&gt;<br>&gt;&gt;<br>&gt;&gt;Согласен... Как тогда четко выловить пакеты rdp tcpdump'ом ? Напишу скриптик разбора <br>&gt;&gt;лога. Спасибо. <br>&gt;<br>&gt;Судя по всему про сложность была ирония. rdp работает поверх tcp, как <br><br>:)<br>&gt;следствие по SYN легко вычисляется установка соединения. В pf скорее всего <br>&gt;есть что-то более удобное наподобие NEW для соединений. <br><br>так же как и в других, уважающих себя, пакетных фильтрах - flags S/SA<br>http://www.opennet.ru/base/net/pf_faq.txt.html<br> https://www.opennet.ru/openforum/vsluhforumID10/4170.html#6 Thu, 12 Mar 2009 22:16:18 GMT &gt;&gt;наверно очень трудно составить правило отлавливающее только первый пакет, его и логировать <br>&gt;&gt;<br>&gt;<br>&gt;Согласен... Как тогда четко выловить пакеты rdp tcpdump'ом ? Напишу скриптик разбора <br>&gt;лога. Спасибо. <br><br>Судя по всему про сложность была ирония. rdp работает поверх tcp, как следствие по SYN легко вычисляется установка соединения. В pf скорее всего есть что-то более удобное наподобие NEW для соединений. <br><br> https://www.opennet.ru/openforum/vsluhforumID10/4170.html#5 Thu, 12 Mar 2009 17:35:44 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt;<br>&gt;&gt;&gt;а попроще что нить есть ? тривиально как нить: время ип <br>&gt;&gt;&gt;tcpdump я тож могу смареть и писать в файл ... но очень <br>&gt;&gt;&gt;много инфы . <br>&gt;&gt;<br>&gt;&gt;наверно очень трудно составить правило отлавливающее только первый пакет, его и логировать <br>&gt;&gt;<br>&gt;<br>&gt;Согласен... Как тогда четко выловить пакеты rdp tcpdump'ом ? Напишу скриптик разбора <br>&gt;лога. Спасибо. <br><br>Почему tcpdump? Пусть этим занимается pf, там как раз флаги можно проверять и наверняка потом еще и таблицы будите использовать для блокирования шибко шустрых.<br> https://www.opennet.ru/openforum/vsluhforumID10/4170.html#4 Thu, 12 Mar 2009 10:21:03 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt;&gt;или пробывал заходить на rdp. Возможно ли это ? <br>&gt;&gt;&gt;<br>&gt;&gt;&gt;в pf есть же log <br>&gt;&gt;<br>&gt;&gt;а попроще что нить есть ? тривиально как нить: время ип <br>&gt;&gt;tcpdump я тож могу смареть и писать в файл ... но очень <br>&gt;&gt;много инфы . <br>&gt;<br>&gt;наверно очень трудно составить правило отлавливающее только первый пакет, его и логировать <br>&gt;<br><br>Согласен... Как тогда четко выловить пакеты rdp tcpdump'ом ? Напишу скриптик разбора лога. Спасибо. <br> https://www.opennet.ru/openforum/vsluhforumID10/4170.html#3 Thu, 12 Mar 2009 08:47:59 GMT &gt;&gt;&gt;Freebsd 7.1, pf. Правилом перебросил rdp на внутренюю машину в сети. Работает <br>&gt;&gt;&gt;все замечательно ... Хотелось бы логировать кто (ip) и когда заходил <br>&gt;&gt;&gt;или пробывал заходить на rdp. Возможно ли это ? <br>&gt;&gt;<br>&gt;&gt;в pf есть же log <br>&gt;<br>&gt;а попроще что нить есть ? тривиально как нить: время ип <br>&gt;tcpdump я тож могу смареть и писать в файл ... но очень <br>&gt;много инфы . <br><br>наверно очень трудно составить правило отлавливающее только первый пакет, его и логировать<br> https://www.opennet.ru/openforum/vsluhforumID10/4170.html#2 Wed, 11 Mar 2009 19:15:49 GMT &gt;&gt;Freebsd 7.1, pf. Правилом перебросил rdp на внутренюю машину в сети. Работает <br>&gt;&gt;все замечательно ... Хотелось бы логировать кто (ip) и когда заходил <br>&gt;&gt;или пробывал заходить на rdp. Возможно ли это ? <br>&gt;<br>&gt;в pf есть же log <br><br>а попроще что нить есть ? тривиально как нить: время ип<br>tcpdump я тож могу смареть и писать в файл ... но очень много инфы .<br> https://www.opennet.ru/openforum/vsluhforumID10/4170.html#1 Wed, 11 Mar 2009 14:17:06 GMT &gt;Freebsd 7.1, pf. Правилом перебросил rdp на внутренюю машину в сети. Работает <br>&gt;все замечательно ... Хотелось бы логировать кто (ip) и когда заходил <br>&gt;или пробывал заходить на rdp. Возможно ли это ? <br><br>в pf есть же log<br>