Уважаемые гуру. Читал до просветления - man sockstat, man netstat. просветление не наступило, прочитал еще раз - не помогло.
Вопрос: как увидеть какие порты проброшены в локальную сеть и кто на них сейчас висит?
Вариант /etc/natd.conf - эт понятоно. Вопрос как мониторить наличие подключения?

С великим уважением к вашему опыту.

• Freebsd - natd > sockstat, netstat or lsof,richit, 13:47 , 21-Авг-12
  • Freebsd - natd > sockstat, netstat or lsof,Анонимус42, 15:00 , 21-Авг-12
    • Freebsd - natd > sockstat, netstat or lsof,richit, 16:56 , 21-Авг-12
• Freebsd - natd > sockstat, netstat or lsof,user, 23:15 , 21-Авг-12
  • Freebsd - natd > sockstat, netstat or lsof,richit, 09:46 , 22-Авг-12
    • Freebsd - natd > sockstat, netstat or lsof,1, 10:28 , 22-Авг-12
      • Freebsd - natd > sockstat, netstat or lsof,richit, 13:09 , 22-Авг-12
        • Freebsd - natd > sockstat, netstat or lsof,1, 13:21 , 22-Авг-12
          • Freebsd - natd > sockstat, netstat or lsof,richit, 15:51 , 22-Авг-12
        • Freebsd - natd > sockstat, netstat or lsof,user, 14:44 , 22-Авг-12
          • Freebsd - natd > sockstat, netstat or lsof,Анонимус42, 16:29 , 22-Авг-12

Сам себе в ответ:)
Как вариант, конечно, можно посмотреть в /etc/natd.conf, что пробрасываем
Соответственно, tcpdump src port 80 (for example)

Как увидеть это в netstat, или lsof, или sockstat?
Или natd уже никто не пользуется?

> Или natd уже никто не пользуется?

Мало мало кто. И то на тех системах которые работают годами и не обновляются.

> Мало мало кто. И то на тех системах которые работают годами и не обновляются.

И как их тогда мониторить? есть рицепт?

> Уважаемые гуру. Читал до просветления - man sockstat, man netstat. просветление не
> наступило, прочитал еще раз - не помогло.
> Вопрос: как увидеть какие порты проброшены в локальную сеть и кто на
> них сейчас висит?
> Вариант /etc/natd.conf - эт понятоно. Вопрос как мониторить наличие подключения?
> С великим уважением к вашему опыту.

Можете добваить осходящее правило с опцией log на внутреннем интерфейсе, а потом смотреть в журнале, делаете tail -f /var/log/security и смотрите в реальном времени. Только не надо ограничивать кол-во записей в логе при компиляции ядра (или ч\з sysctl). Второй вариант - логировать через псевдо-ифейс ipfw0, ну и tcpdump... В мане про него написано. Я думаю второй вариант для вас предпочтительней.
А вообще, если для вас критично логирование, то лучше pf.

огромное вам спасибо за ответ. буду методично переходить на pf
логировать не особо критично. скорее мониторить активное подключение  (кто на линии, есть ли связи, с какими хостами в сети и т.п.) к rdp for exampe.

буду "грызть" мануалы. спасибо за то что показали путь.

> огромное вам спасибо за ответ. буду методично переходить на pf
> логировать не особо критично. скорее мониторить активное подключение  (кто на линии,
> есть ли связи, с какими хостами в сети и т.п.) к
> rdp for exampe.
> буду "грызть" мануалы. спасибо за то что показали путь.

нат ядерный, смотрите в конфиге какой порт пробрасываем, потом sockstat | grep port например так, можно через трафшоу в реальном времени, через нетстат также как и через сокстат, тспдамп с записью в лог, pf однопоточный.

nat ядрёный ;) там много чего с ядром стартует
sockstat, netstat пробывал. подключение есть - сообщения о нем нет
trafshow душевная вещь, только не смог он мне ничего отфильтровать, а траффика не мало и попробуй найди эту строчку.

Вопрос возник, когда у босса отвалилось подключение к rdp, а в винде я вижу его подключение. Вот и вопрос, где обрыв. Полез смотреть на шлюз. netstat sockstat показали только то что слушает сам шлюз (80, 123, ну и остальное) и маршрутизацию.

Работает только tcpdump | grep rdp

Поэтому и возникла тема. Буду эксперементировать с pf

> nat ядрёный ;) там много чего с ядром стартует

что написали, то и стартует, а не от балды ;)
> sockstat, netstat пробывал. подключение есть - сообщения о нем нет

каких сообщений? Вывело вам порты, которые слушает сервер или установленные сессии
> trafshow душевная вещь, только не смог он мне ничего отфильтровать, а траффика
> не мало и попробуй найди эту строчку.

если отфильтровать имеется в виду показать, то используйте regexp как и в тспдампе
trafshow -ni interface -R1 host ip port 3389
> Вопрос возник, когда у босса отвалилось подключение к rdp, а в винде
> я вижу его подключение. Вот и вопрос, где обрыв. Полез смотреть
> на шлюз. netstat sockstat показали только то что слушает сам шлюз
> (80, 123, ну и остальное) и маршрутизацию.
> Работает только tcpdump | grep rdp

так никто не фильтрует, tcpdump -i interface -r dump_file host ip and port 3389

> Поэтому и возникла тема. Буду эксперементировать с pf

> trafshow -ni interface -R1 host ip port 3389

Вот оно решение.
Супер. То что надо. Огромное вам спасибо.

> nat ядрёный ;) там много чего с ядром стартует
> sockstat, netstat пробывал. подключение есть - сообщения о нем нет
> trafshow душевная вещь, только не смог он мне ничего отфильтровать, а траффика
> не мало и попробуй найди эту строчку.
> Вопрос возник, когда у босса отвалилось подключение к rdp, а в винде
> я вижу его подключение. Вот и вопрос, где обрыв. Полез смотреть
> на шлюз. netstat sockstat показали только то что слушает сам шлюз
> (80, 123, ну и остальное) и маршрутизацию.
> Работает только tcpdump | grep rdp
> Поэтому и возникла тема. Буду эксперементировать с pf

Экспериментируйте. Тем более в 10-ке pf будет многопоточным. Сейчас в репозитории есть проэкт pf, который уже работает многопоточно. Я его уже использую на одной продакшен-машине, очень шустро работает.

> Экспериментируйте. Тем более в 10-ке pf будет многопоточным. Сейчас в репозитории есть
> проэкт pf, который уже работает многопоточно. Я его уже использую на
> одной продакшен-машине, очень шустро работает.

Расскажите, чем на сколько и в каких задачах быстрее многопоточный pf?