Discussion :

[frenchviking]

Bonjour,

J'ai un PF configuré pour logger les paquets TCP FTP avec un statut SYN/ACK. Le logging se fait via l'interface pflog0 et dans le fichier pflog0.

J'aimerais retrouver facilement les lignes correspondantes à ma règle via tcpdump. Pour cela il est possible d'utiliser deux options dans pflogd et tcpdump

ruleset et rulenum a utiliser de la manière suivante :

pflogd -f [file] rule tcp -> pour une règle nommée tcp
pflogd -f [file] rule 15 -> pour une règle numérotée 15

avec tcpdump on filtre le fichier pflog de la manière suivante :

tcpdump -r [file] ruleset [ruleset]
tcpdump -r |file] rulenum [rulenum]

Soucis :
dans le pf.conf, j'ai plusieurs options possible afin de marquer ma ligne de filtrage
tag [string]
tagged [string]
label [string]

pflog et tcpdump on la même grammaire mais pas pf.conf. Quel option dois-je utiliser dans pf.conf?


Merci d'avance

[julp]

C'est label pour nommer ses règles.

tag et tagged sont relatifs au marquage des paquets.

[frenchviking]

Bonjour,

Merci de ta réponse.

Cela ne fonctionne cependant toujours pas.
mon pflogd est bien lancé et log sur l'interface pflog0 et dans le fichier dédié pfftp

_pflogd 4571 0.0 0.0 484 292 ?? S 3:02PM 0:00.00 pflogd: [running] -s 116 -i pflog0 -f /var/log/pfftp (pflogd)

une autre instance de pflogd est lancée, celle par défaut ou tout le reste est loggé

_pflogd 16405 0.0 0.0 596 328 ?? S Wed04PM 0:02.47 pflogd: [running] -s 116 -i pflog0 -f /var/log/pflog (pflogd)

Ma règle pf.conf :

pass in log (all) on $ext_if proto tcp from any port 21 label pfftp #flags S/SA

Ma commande tcpdump :

tcpdump -ttt -e -r pfftp ruleset pfftp

Pour tester je tente une connexion en FTP sur le firewall, qui n'a pas de serveur FTP. Je devrais au moins avoir un log d'une tentative de connexion (non?)

Mon fichier reste désespérément vide.

Help!

[julp]

Si votre machine est destinée à être le serveur, même si c'est "simulé", le port 21 est le port de destination (serveur) et non source (client) :

Code X :

Sélectionner tout - Visualiser dans une fenêtre à part

pass in log (all) on $ext_if proto tcp from any to $ext_if port ftp label pfftp #flags S/SA

[frenchviking]

En fait la machine ou est installé le pare-feu fait office de proxy ftp. Ce que je souhaite donc c'est logger toutes les connexions réussites sur les serveurs FTP derrière le pf.

Sinon même avec la modification, je n'ai toujours rien dans mon fichier de log pfftp.