From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: Date: Sat, 4 Oct 2003 20:36:21 +0400 From: "Peter V. Saveliev" To: sisyphus@altlinux.ru Subject: Re: [sisyphus] iptables vs. =?KOI8-R?Q?=DA=C4=D2=C1=D7=D9=CA_=D3?= =?KOI8-R?Q?=CD=D9=D3=CC=3F?= Message-Id: <20031004203621.18434395.peet@eltel.net> In-Reply-To: <20031003151109.GI1607@kiev-online.net> References: <20031003175619.4e571a85.peet@eltel.net> <20031003151109.GI1607@kiev-online.net> Organization: JSC Eltel X-Mailer: Sylpheed version 0.9.2 (GTK+ 1.2.10; i586-alt-linux-gnu) Mime-Version: 1.0 Content-Type: text/plain; charset=KOI8-R Content-Transfer-Encoding: 8bit X-BeenThere: sisyphus@altlinux.ru X-Mailman-Version: 2.1.2 Precedence: list Reply-To: sisyphus@altlinux.ru List-Id: List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Sat, 04 Oct 2003 16:36:23 -0000 Archived-At: List-Archive: On Fri, 3 Oct 2003 18:11:09 +0300 "Dmytro O. Redchuk" wrote: > Можно попробовать от'snort'тить трафик, и параллельно кидать в логи > информацию о дропнутых пакетах. > > Я не уверен, что знаю, какие пакеты и какого формата бегают в процессе > общения между клиентом и сервером. Так как DCHP -- не совсем ip, поэтому > что-то может проскакивать мимо iptables. Другой вопрос, откуда же dhcpd > знает адрес, который кидает в лог -- тут и надо бы почитать rfc на DCHP > (а их несколько, с изменениями и дополнениями). В том-то и дело, что dhcp - это ip. Более того, это udp, src port bootps (67), dst port bootpc (68). И даже хуже всё на самом деле, бо правило MIRROR для этих пакетов не работает, что меня уже совсем раздражает. -- 19:58:15 up 23 days, 7:16, 1 user, load average: 11.79, 12.15, 11.49 ++ Sincerely, Peter V. Saveliev E-mail: peet@eltel.net Jabber: peet@jabber.ru