|
portsentry
Привет всем!
Возник такой вопрос: будет ли отлавливать portsentry попытку сканирования портов если в файрволе стоят правила по умолчанию дропить всё, а разрешать только нужные порты (80 | 25 | 21)? Имеется сервант с двумя сетевухами - одна с локальным IP, а вторая с реальным. Поставил сей сабж(portsentry), а он не детектит сканирование портов на реальном IP. По внутреннему детектит, так как файрволом внутри всё открыто. Сконфиген portsentry следующим образом: Режим сканирования: " Advanced Stealth Scan " ADVANCED_PORTS_TCP="1024" ADVANCED_PORTS_UDP="1024" ADVANCED_EXCLUDE_UDP="" ADVANCED_EXCLUDE_TCP="" SCAN_TRIGGER="0" BLOCK_UDP="1" BLOCK_TCP="1" |
А версия какая? 1.0 итд. Ставил себе... все ловило... даже если ты из внутренней сети будешь сканить внешний свой ип в зависимости от настройки вплодь до блокирования... :) самого себя полезно от очумелых юзеров.
А так это не полный конфиг. нет необходимых параметров. Поищи статью о настройке на опеннете(ибо я настраивал по ней и все работало). |
Версия 1.1
На счет неполного конфига: всё что откоментировано - всё предоставлено в предыдущем посте за исключением вот этой строчки: KILL_ROUTE="/sbin/iptables -I INPUT -s $TARGET$ -j DROP" всё остальное закоментено... на счет отлавливания: внутри то оно как раз и отслеживает сканирование портов и блокирует эти попытки... но это происходит потому что изнутри не закрыто файрволом... попытки сканировать из локальной подсети реальный айпишник тоже отслеживается и блочится... А вот при сканировании реального айпишника снаружи ничего не отслеживается потому что правилами файрвола политика по умолчанию стоит - дропить всё что не открыто... А файрволом открыты порты - 80 на котором веб-сервер висит, 25 - почтовик и 21 с фтп-сервером. При попыткакх сканировать реальник ничего не отслеживается и не блокируется. Как я предполагаю - то что блочится файрволом до портсентри не доходит... Как я понял принцип работы - то портсентри открывает сокеты по всем перечисленным в конфиге портам и отслеживает обращение к этим портам... А так как эти порты закрыты извне файрволом то портсентри и не видит обращения к ним... Если портсентрю заставить в конфиге слушать 80, 25 и 21 порты - то он говорит что немогу занять эти порты так как они уже заняты.... Если в файрволе проставить политики по умолчанию - разрешать всё - тогда при сканировании внешнего айпишника извне он отслеживает и блокирует... Так вот я и пытаюсь выяснит - правда то что для правильной работы портсентри надо держать открытым файрвол? Это ж лишняя дырка... Может я чего недопонимаю??? |
Почитай... http://dh.opennet.ru/portsentry.html правда там касательно 1.0 но главное принцип.. :) ибо далее я не стал вникать... :(
|
Да читал я эту статейку......
Там по настройке только.... Я по ней и настраивал... Нет нигде описания основного принципа работы и связки с настройками файрвола.... Связка есть только если кого заблочить надо.... А как файрвол должен быть настроен для правильной работы портсентри нигде не описано... |
Из статьи:
Цитата:
Цитата:
И еще по режимам запуска можно комбинировать Цитата:
Цитата:
дерзайте... |
Да - это я читал...
Ну значит наверно я таки правильно понял как оно работает... Получается что файрволом не надо блочить по умолчанию те порты, которые будет отслеживать портсентри... ИМХО лучше закрыть все неюзаемые порты файрволом сразу всем, чем собирать целый список забаненых айпишников которые пытались тебя сканировать... Или я не прав??? ну останется открытый 80 порт.... ну пусть сканячат... я думаю апач не обидится... :) |
Согласен:
Цитата:
А так вы правы... лучше - все что не нужно закрыть и давать ему правило REJECT с ресетом TCP...(ну нет у вас этого сервиса.. :) ) |
| Время: 12:16. |
Время: 12:16.
© OSzone.net 2001-