Когда кто-то пытается войти в черный список, я бы хотел, чтобы этот IP-адрес был заблокирован на брандмауэре для всего. Даже порт 80. По сути, у меня есть веб-сервер, и я вижу людей, идущих через порты, чтобы посмотреть, что доступно. Очевидно, что они не годятся, и я хотел бы захлопнуть за них дверь. Есть сценарий, который может сделать это? Даже если он основан на cron, это нормально ...
1 ответ
2
Вы, вероятно, ищете псад.
psad - это коллекция трех легких системных демонов (два основных демона и один вспомогательный демон), которые работают на компьютерах Linux и анализируют сообщения журнала iptables для обнаружения сканирования портов и другого подозрительного трафика. Типичное развертывание - запуск psad на брандмауэре iptables, где он имеет самый быстрый доступ к данным журнала.
А вот отличный учебник по обнаружению и блокированию атак сканирования портов в режиме реального времени.