在 tcpdump 中,not如果我想从标准输出中排除它,我可以使用它。
tcpdump -i eth0 not port 22
是否可以在fw monitor(Check Point 防火墙)中完成相同的任务?
我一直在尝试使用这些命令排除 ssh (tcp/22),但输出中仍然存在 ssh 端口
fw monitor not ssh
fw monitor not port 22
Check Point 防火墙:“fw monitor”命令排除某些流量
网络工程
防火墙
检查点
2022-02-27 23:52:21
1个回答
根据如何使用固件监视器文档:
命令语法
fw monitor [-u|s] [-i] [-d] [-D] <{-e expr}+|-f <filter-file|->> [-l len] [-m mask] [-x offset[,len]] [-o <file>] <[-pi pos] [-pI pos] [-po pos] [-pO pos] | -p all > [-a] [-ci count] [-co count] [-vs vsid or vsname]
-e expr是您要查找的开关:
fw monitor能够仅捕获您感兴趣的数据包。可以在命令行上设置过滤器表达式(使用 -e 开关),从文件中读取它(-f)或从标准输入 (-f -)。
表达式语法记录为:
fw 监视器过滤器使用 INSPECT 的子集来指定要捕获的数据包。一般语法是:
accept expression;
进而:
使用关系和逻辑运算符可以轻松构建复杂的捕获过滤器。例如,除了 http表达式之外的所有内容:
accept not (sport=80 or dport=80);
因此,您要查找的命令应该是:
fw monitor -e 'accept not (sport=22 or dport=22);'
其它你可能感兴趣的问题