Разрешить сканирование портов для определенных адресов в PSAD
Как включить сканирование портов для определенного адреса (или диапазона) в PSAD?
По умолчанию я получаю много журналов из моей собственной службы мониторинга. Как я могу сказать psad считать мои адреса или домены доверенными?
Я бы не хотел добавлять их в файл /etc/hosts.allow.
Вот пример сообщения журнала:
Scanned UDP ports: [36604-53945: 3 packets, Nmap: -sU]
iptables chain: INPUT, 3 packets
Source: a.b.c.200
DNS: ns3-cache.example.com
Destination: a.b.c.185
DNS: my.machine.example.com
1 ответ
Решение
Для внесения в белый список IP-адресов или диапазонов используйте /etc/psad/auto_dl файл:
У него есть примеры, которые показывают его функциональность:
# <IP address> <danger level> <optional protocol>/<optional ports>;
#
# Examples:
#
# 10.111.21.23 5; # Very bad IP.
# 127.0.0.1 0; # Ignore this IP.
# 10.10.1.0/24 0; # Ignore traffic from this entire class C.
# 192.168.10.4 3 tcp; # Assign danger level 3 if protocol is tcp.
# 10.10.1.0/24 3 tcp/1-1024; # Danger level 3 for tcp port range
Вы хотите Ignore тип правила, так как он устанавливает danger level к нулю, эффективно игнорируя этот IP/ диапазон.