Ich habe einen Remote-Server mit installiertem rpcapd, der strengen Sicherheitsrichtlinien folgt. Jeder Client kann nur über eine Firewall auf den Server zugreifen, die denselben Sicherheitsrichtlinien folgt (bitte geben Sie mir keine Schuld, das war nicht meine Idee). Der einzige auf dem Server und der Firewall für die Remote-Erfassung geöffnete Port ist tcp:2002. Außerdem blockiert die Firewall alle unbekannten ausgehenden Ports. Das Gesamtbild sieht also so aus:
client >> firewall (tcp:2002 opened) >> target server (tcp:2002 opened)
Die Frage ist: Verwendet rpcapd irgendwelche „Datenports“ (entweder TCP oder UDP), um den erfassten Datenverkehr an den Client weiterzuleiten? Wenn ja, welche Ports sind das? Kann ich sie manuell über einen Cmd-Schalter einstellen?
Der einzige in den Dokumenten erwähnte Port ist ...
-p <port> It sets the port the daemon has to bind to. Default: it binds to port 2002.
.. aber wenn dies nur eine Art „Steueranschluss“ ist, funktioniert die Remote-Erfassung in meinem Fall nicht.
Antwort1
Beim Lesen der Dokumentation scheint der aktive Modus für das von Ihnen angegebene Schema nützlich zu sein: [Quelle:https://www.winpcap.org/docs/docs_412/html/group__remote.html]
Remote Capture Running Modes
The Remote Capture Protocol (RPCAP) can work in two modes:
Passive Mode (default): the client (e.g. a network sniffer) connects to the remote daemon, it sends them the appropriate commands, and it starts the capture.
Active Mode: the remote daemon try to establish a connection toward the client (e.g. the network sniffer); then, the client sends the appropriate commands to the daemon and it starts the capture. This name is due to the fact thet the daemon becomes active instead of waiting for new connections.
The Active Mode is useful in case the remote daemon is behind a firewall and it cannot receive connections from the external world. In this case, the daemon can be configured to establish the connection to a given host, which will have been configured in order to wait for that connection. After establishing the connection, the protocol continues its job in almost the same way in both Active and Passive Mode.