Permitir varreduras de porta para endereços específicos no psad

Question

Permitir varreduras de porta para endereços específicos no psad

#1 resposta do (1 votos)

2

Como ativar varreduras de portas para endereços específicos (ou intervalo) em psad?

Por padrão, recebo muitos logs do meu próprio serviço de monitoramento. Como posso dizer ao psad para tratar meus endereços ou domínios como confiáveis?

Eu gostaria de evitar adicioná-los ao arquivo /etc/hosts.allow.

Veja a mensagem do arquivo de log de amostra:

   Scanned UDP ports: [36604-53945: 3 packets, Nmap: -sU]
   iptables chain: INPUT, 3 packets

   Source: a.b.c.200
   DNS: ns3-cache.example.com

   Destination: a.b.c.185
   DNS: my.machine.example.com

configuration debian-wheezy psad

por Sfisioza 11.07.2014 / 12:20

1 resposta

Tags configuration debian-wheezy psad

Comprimir a saída do tshark quando estiver no modo de múltiplos arquivos Limite do descritor de arquivo no nginx / aplicativo do passageiro

score 1 · Accepted Answer

Para IPs ou intervalos de lista de autorizações, use o arquivo /etc/psad/auto_dl :

Tem exemplos que mostram sua funcionalidade:

#  <IP address>  <danger level>  <optional protocol>/<optional ports>;
#
# Examples:
#
#  10.111.21.23    5;                # Very bad IP.
#  127.0.0.1       0;                # Ignore this IP.
#  10.10.1.0/24    0;                # Ignore traffic from this entire class C.
#  192.168.10.4    3    tcp;         # Assign danger level 3 if protocol is tcp.
#  10.10.1.0/24    3    tcp/1-1024;  # Danger level 3 for tcp port range

Você deseja o tipo de regra Ignore , pois define o danger level como zero, ignorando efetivamente esse IP / intervalo.