У меня есть удаленный сервер с установленным rpcapd, который следует строгим правилам политики безопасности. Любой клиент может получить доступ к серверу только через брандмауэр, который следует той же политике безопасности (пожалуйста, не вините меня, это была не моя идея). Единственный порт, открытый на сервере и брандмауэре для удаленного захвата, это tcp:2002. Также брандмауэр блокирует все неизвестные исходящие порты. Таким образом, вся картина выглядит так:
client >> firewall (tcp:2002 opened) >> target server (tcp:2002 opened)
Вопрос: использует ли rpcapd какие-либо "порты данных" (tcp или udp) для пересылки захваченного трафика клиенту? Если да, то что это за порты? Могу ли я вручную задать их с помощью какого-нибудь переключателя cmd?
Единственный порт, упомянутый в документах, это...
-p <port> It sets the port the daemon has to bind to. Default: it binds to port 2002.
.. но если это просто какой-то «порт управления», то удаленный захват в моем случае работать не будет.
решение1
Прочитав документацию, можно сделать вывод, что активный режим кажется полезным для предоставленной вами схемы: [источник:https://www.winpcap.org/docs/docs_412/html/group__remote.html]
Remote Capture Running Modes
The Remote Capture Protocol (RPCAP) can work in two modes:
Passive Mode (default): the client (e.g. a network sniffer) connects to the remote daemon, it sends them the appropriate commands, and it starts the capture.
Active Mode: the remote daemon try to establish a connection toward the client (e.g. the network sniffer); then, the client sends the appropriate commands to the daemon and it starts the capture. This name is due to the fact thet the daemon becomes active instead of waiting for new connections.
The Active Mode is useful in case the remote daemon is behind a firewall and it cannot receive connections from the external world. In this case, the daemon can be configured to establish the connection to a given host, which will have been configured in order to wait for that connection. After establishing the connection, the protocol continues its job in almost the same way in both Active and Passive Mode.