The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Firewall фильтр по содержимому пакета"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Информационная безопасность (Public)
Изначальное сообщение [Проследить за развитием треда]

"Firewall фильтр по содержимому пакета"  
Сообщение от newocom (ok) on 30-Сен-07, 19:23 
Использую FreeBSD6.2/pf firewall.

Задача состоит в том, чтобы при передачи данных с определенных хостов в локальной сети происходила проверка содержимого пакета(squid неподходит)

т.е. нужно что-то типа связки pf + ngrep.

Например:

Если пакет исходит от 192.168.0.55 и содержимое этого пакета содержит "12345", то блокировать его и заносить запись в лог.

Если пакет исходит от 192.168.0.56 на порт 53, а содержимое не попадает под фильтр www.1.com || *.2.com - блокировать пакет, либо следующий http пакет от этого хоста  заварачивать на прокси с авторизацией.

Если пакет исходит от 192.168.0.57 на порт 8080 адреса 195.5.5.5, то проверять возвращаемые данные на наличие слова sex, porno и блокировать ответ.

Необходимо работать по любым портам, определяя где ssh и т.д.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Firewall фильтр по содержимому пакета"  
Сообщение от newocom (ok) on 30-Сен-07, 23:11 
>[оверквотинг удален]
>блокировать его и заносить запись в лог.
>
>Если пакет исходит от 192.168.0.56 на порт 53, а содержимое не попадает
>под фильтр www.1.com || *.2.com - блокировать пакет, либо следующий http
>пакет от этого хоста  заварачивать на прокси с авторизацией.
>
>Если пакет исходит от 192.168.0.57 на порт 8080 адреса 195.5.5.5, то проверять
>возвращаемые данные на наличие слова sex, porno и блокировать ответ.
>
>Необходимо работать по любым портам, определяя где ssh и т.д.

Да, кстати забыл сказать, что snort_inline тоже неподходит

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Firewall фильтр по содержимому пакета"  
Сообщение от adasa on 02-Окт-07, 16:55 
[...]
>>Необходимо работать по любым портам, определяя где ssh и т.д.
>
>Да, кстати забыл сказать, что snort_inline тоже неподходит

ng_bpf подойдет?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру