3 votes

Sfisioza avatar

Autoriser les scans de port pour des adresses spécifiques dans psad

Demandé el 11 de Juillet, 2014
Quand la question a-t-elle été
2938 affichage
Nombre de visites la question a
1 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Comment activer les scans de port pour une adresse spécifique (ou une gamme) dans psad ?

Par défaut, je reçois beaucoup de journaux provenant de mon propre service de surveillance. Comment puis-je dire à psad de traiter mes adresses ou domaines comme des adresses de confiance ?

J'aimerais éviter de les ajouter au fichier /etc/hosts.allow.

Voici un exemple de message du fichier journal :

   Scanned UDP ports: [36604-53945: 3 packets, Nmap: -sU]
   iptables chain: INPUT, 3 packets

   Source: a.b.c.200
   DNS: ns3-cache.example.com

   Destination: a.b.c.185
   DNS: my.machine.example.com
Demandé el 11 de Juillet, 2014 par Sfisioza

Réponse

Trop de publicités?

3voto

dawud avatar
dawud Points 14770

Pour mettre sur liste blanche des IP ou des plages, utilisez l'option /etc/psad/auto_dl fichier :

Il comporte des exemples qui montrent sa fonctionnalité :

#  <IP address>  <danger level>  <optional protocol>/<optional ports>;
#
# Examples:
#
#  10.111.21.23    5;                # Very bad IP.
#  127.0.0.1       0;                # Ignore this IP.
#  10.10.1.0/24    0;                # Ignore traffic from this entire class C.
#  192.168.10.4    3    tcp;         # Assign danger level 3 if protocol is tcp.
#  10.10.1.0/24    3    tcp/1-1024;  # Danger level 3 for tcp port range

Vous voulez le Ignore type de règle, car elle fixe le danger level à zéro, ignorant effectivement cette IP/gamme.

Répondu el 11 de Juillet, 2014 par dawud (14770 Points )

0 votes

Avatar de c0rrupt

Comment mettre en liste blanche les adresses ipv6 ? ça ne semble pas fonctionner quand on les ajoute dans /etc/psad/auto_dl.

Commenté el 29 de Janvier, 2019 par c0rrupt

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X