Bonjour,
J'ai un PF configuré pour logger les paquets TCP FTP avec un statut SYN/ACK. Le logging se fait via l'interface pflog0 et dans le fichier pflog0.
J'aimerais retrouver facilement les lignes correspondantes à ma règle via tcpdump. Pour cela il est possible d'utiliser deux options dans pflogd et tcpdump
ruleset et rulenum a utiliser de la manière suivante :
pflogd -f [file] rule tcp -> pour une règle nommée tcp
pflogd -f [file] rule 15 -> pour une règle numérotée 15
avec tcpdump on filtre le fichier pflog de la manière suivante :
tcpdump -r [file] ruleset [ruleset]
tcpdump -r |file] rulenum [rulenum]
Soucis :
dans le pf.conf, j'ai plusieurs options possible afin de marquer ma ligne de filtrage
tag [string]
tagged [string]
label [string]
pflog et tcpdump on la même grammaire mais pas pf.conf. Quel option dois-je utiliser dans pf.conf?
Merci d'avance
Partager