Usando SCAN_TIMEOUT
Eu diria que se psad detectar ataques de varredura de algum endereço IP nefasto que bloqueia por atacado durante o tempo definido em AUTO_BLOCK_TIMEOUT .
Se você quiser apenas bloquear os ataques de verificação, em seguida, no manual, eu diria que você pode querer usar esse tempo limite:
SCAN_TIMEOUT 3600;
trecho
SCAN_TIMEOUT
Defines the number of seconds psad will use to timeout scans (or other suspect traffic) associated with individual IP addresses. The default value is 3600 seconds (one hour). Note the SCAN_TIMEOUT is only used if ENABLE_PERSISTENCE is set to "N".
Autoblocking com psad
Se você examinar as Perguntas frequentes , há uma seção que desestimula você a usar psad dessa maneira .
3.3. Is it a good idea to set ENABLE_AUTO_IDS="Y" to automatically block scans?
In general no, and this feature is disabled by default. The reason for this is that a scan can be spoofed from any IP address (see the -S option to nmap). If psad is configured to automatically block scans then an attacker can spoof a scan, say, from www.yahoo.com and then you will be parsing your firewall ruleset to discover why you can't browse Yahoo's website, (or you can just execute "psad --Flush" to remove any auto-generated firewall rules). Also, an advanced scanning technique called the TCP Idle Scan requires that scan packets are spoofed by the attacker from a seemingly unrelated IP address from the viewpoint of the target. Nmap implements the Idle scan with its -sI option, and a good explanation of the technique can be found here.
Então, posso deixar as portas 80/443 inalteradas?
Ao olhar para a documentação, não vejo como você poderia conseguir isso, exceto por criar suas próprias regras que seriam usadas quando um ataque fosse detectado.
trecho
IPTABLES_AUTO_RULENUM
Defines the specific rule number that psad will use to add auto-generated iptables blocking rules in the INPUT, OUTPUT, and FORWARD chains (ENABLE_AUTO_IDS must be set to "Y" for this keyword to be used). The default value is "1".