В чем проблема?

http://www.opennet.ru/cgi-bin/opennet/man.cgi?topic=pflog&category=4

Лишний демон не хотелось бы. И в чём его преимущества перед pfctl -T show? А вот как правило составить для pf, чтобы он алярмил и логировал всё, что не HTTP/SSH?

Это новое поколение, которому разжевать и в рот положить надо, или я лет 15 назад таким же был? O_o

вы чувствуете разницу между пакетным фильтром и системой мониторинга?
да/нет?

А вот как правило составить для pf

Молча. Научитесь читать и осознавать написанное.
http://www.openbsd.org/faq/pf/

Тогда PF не было!

Не могу разобраться, как логировать адреса исходящих соединений в виртуальную таблицу, чтоб потом её смотреть! Может, кто знает? Делаю:

pass out proto tcp to port 25 flags S/SA keep state (max-src-conn-rate 3/30, overload <spam> flush global)

но в таблице вижу только адрес своего сервака! Как сделать так, чтобы видеть там тот адрес, на 25-й порт которого кто-то ломится? Подскажите пожалуйста!

Как сделать так, чтобы видеть там тот адрес, на 25-й порт которого кто-то ломится?
pass out proto tcp to port 25

Внимательно. Очень внимательно смотрим на вторую строчку. Если через пол часа непонятно, почему

но в таблице вижу только адрес своего сервака!

Тогда начинаем читать документацию. Которую вы даже не открывали.

Которую вы даже не открывали.

Зря вы так говорите!!! :((((( Как бы я составил это своё правило, если бы не читал! Я б не обращался, если бы не потрудился почитать! Сам такого не люблю! Но тут очень запутанная дока, я скурил ман, но пока что не пойму, как сделать то, что нужно... Наверное, придётся идти второй раз курить, если никто не подскажет :(

Вы написали правило для исходящих от своего сервера соединений на 25 порт. А надо на входящие. Подумайте об этом.

Да нет, не на входящее! Если бы всё было так просто - я бы вместо out написал in! Мне надо на исходящее соединение, но чтобы логировался адрес SMTP-сервера *на который* ломятся. Вот как это сделать - не пойму...