Как включить сканирования портов для определенного адреса (или диапазон) в psad?
По умолчанию я получаю много журналов, прибывающих из моей собственной контрольной службы. Как я могу сказать psad рассматривать свои адреса или домены как, которым доверяют?
Я хотел бы постараться не добавлять их к/etc/hosts.allow файлу.
Вот демонстрационное сообщение файла журнала:
Scanned UDP ports: [36604-53945: 3 packets, Nmap: -sU]
iptables chain: INPUT, 3 packets
Source: a.b.c.200
DNS: ns3-cache.example.com
Destination: a.b.c.185
DNS: my.machine.example.com
Для белых списков IP-адресов или диапазонов используйте файл /etc/psad/auto_dl
:
В нем есть примеры, показывающие его функциональность:
# <IP address> <danger level> <optional protocol>/<optional ports>;
#
# Examples:
#
# 10.111.21.23 5; # Very bad IP.
# 127.0.0.1 0; # Ignore this IP.
# 10.10.1.0/24 0; # Ignore traffic from this entire class C.
# 192.168.10.4 3 tcp; # Assign danger level 3 if protocol is tcp.
# 10.10.1.0/24 3 tcp/1-1024; # Danger level 3 for tcp port range
Вы хотите, чтобы тип правила Ignore
, так как он устанавливает уровень опасности на ноль
, фактически игнорируя этот IP/диапазон.