Banni par portsentry

Salut à tous,

J’ai installé et configuré portsentry sur mon serveur VPS et après avoir lancer un scan portsentry a banni mon IP comme je l’attendais .

Le problème c’est qu’après avoir accéder avec une autre IP je n’arrive pas a trouvé mon ancienne adresse pour la supprimé et y accéder avec a mon VPS (ni SSH,ni HTTP) Iptables ne donne aucune IP banni et je ne c vraiment pas sur quel fichier la trouvé. C’est pourquoi je vous pris de bien vouloir m’orienter et trouver une solution au problème .

Merci à tous et à bientôt.

@++

Tu as regardé dans hosts.deny (dans /etc) ?

Salut,

Non aucune IP dans /etc/hosts.deny je ne c vraiment pas où se trouve l’adresse ip banni par portsentry j’ai fais le tour mais rien

Merci

Comment est configuré portsentry ? (options KILL_* dans /etc/portsentry/portsentry.conf)

Salut,

Comme sa :

KILL_ROUTE="/sbin/route add -host $TARGET$ reject"

@++

C’est donc avec la commande “route -n” que tu verras les adresses bloquées.
Tu devrais pouvoir débloquer une adresse avec

route del <adresse> reject (à vérifier quand même, pas les moyens de tester immédiatement)

EDIT : ça a l’air bon.
A noter que cette façon de bloquer n’est “propre” que si la validation d’adresse source (rp_filter) est activée sur l’interface réseau qui reçoit le trafic. Dans le cas contraire ce sont les paquets de réponse émis qui sont bloqués.

[quote=“PascalHambourg”]C’est donc avec la commande “route -n” que tu verras les adresses bloquées.
Tu devrais pouvoir débloquer une adresse avec

route del <adresse> reject (à vérifier quand même, pas les moyens de tester immédiatement)

EDIT : ça a l’air bon.
A noter que cette façon de bloquer n’est “propre” que si la validation d’adresse source (rp_filter) est activée sur l’interface réseau qui reçoit le trafic. Dans le cas contraire ce sont les paquets de réponse émis qui sont bloqués.[/quote]

Salut,

Merci PascalHambourg c’est exactement sa, maintenant je peux accéder avec l’ancienne IP.

Une dernière question, tu me conseil quoi comme config ? Je veux dire par là, la commande pour bannir les IP et où rajouté un port a surveillé ?

Voici la config actuelle de portsentry (j’ai supprimé quelques commentaires):

# Un-comment these if you are really anal:
#TCP_PORTS="1,7,9,11,15,70,79,80,109,110,111,119,138,139,143,512,513,514,515,540,635,1080,1524,2000,2001,4000,4001,5742,6000,6001,6667,12345,12346,20034,27665,30303,32771,32772,32773,32774,31337,40421,40425,49724,54320"
#UDP_PORTS="1,7,9,66,67,68,69,111,137,138,161,162,474,513,517,518,635,640,641,666,700,2049,31335,27444,34555,32770,32771,32772,32773,32774,31337,54321"
#
# Use these if you just want to be aware:
TCP_PORTS="1,11,15,79,111,119,143,540,635,1080,1524,2000,5742,6667,12345,15000,11001,11000,12346,20034,27665,31337,32771,32772,32773,32774,40421,49724,54320"
UDP_PORTS="1,7,9,69,161,162,513,635,640,641,700,37444,34555,31335,32770,32771,32772,32773,32774,31337,54321"
#
# Use these for just bare-bones
#TCP_PORTS="1,11,15,110,111,143,540,635,1080,1524,2000,12345,12346,20034,32771,32772,32773,32774,49724,54320"
#UDP_PORTS="1,7,9,69,161,162,513,640,700,32770,32771,32772,32773,32774,31337,54321"

###########################################
# Advanced Stealth Scan Detection Options #
###########################################

ADVANCED_PORTS_TCP="1024"
ADVANCED_PORTS_UDP="1024"

# Default TCP ident and NetBIOS service
ADVANCED_EXCLUDE_TCP="113,139"
# Default UDP route (RIP), NetBIOS, bootp broadcasts.
ADVANCED_EXCLUDE_UDP="520,138,137,67"

######################
# Configuration Files#
######################
#
# Hosts to ignore
IGNORE_FILE="/etc/portsentry/portsentry.ignore"
# Hosts that have been denied (running history)
HISTORY_FILE="/var/lib/portsentry/portsentry.history"
# Hosts that have been denied this session only (temporary until next restart)
BLOCKED_FILE="/var/lib/portsentry/portsentry.blocked"

##############################
# Misc. Configuration Options#
##############################
#
# DNS Name resolution - Setting this to "1" will turn on DNS lookups
# for attacking hosts. Setting it to "0" (or any other value) will shut
# it off.
RESOLVE_HOST = "0"

###################
# Response Options#
###################

##################
# Ignore Options #
##################

# 0 = Do not block UDP/TCP scans.
# 1 = Block UDP/TCP scans.
# 2 = Run external command only (KILL_RUN_CMD)

BLOCK_UDP="1"
BLOCK_TCP="1"

###################
# Dropping Routes:#
###################
# Generic 
#KILL_ROUTE="/sbin/route add $TARGET$ 333.444.555.666"

# Generic Linux 
#KILL_ROUTE="/sbin/route add -host $TARGET$ gw 333.444.555.666"

# Newer versions of Linux support the reject flag now. This 
# is cleaner than the above option.
KILL_ROUTE="/sbin/route add -host $TARGET$ reject"

# Generic BSD (BSDI, OpenBSD, NetBSD, FreeBSD)
#KILL_ROUTE="/sbin/route add $TARGET$ 333.444.555.666"

# Generic Sun 
#KILL_ROUTE="/usr/sbin/route add $TARGET$ 333.444.555.666 1"

# NEXTSTEP
#KILL_ROUTE="/usr/etc/route add $TARGET$ 127.0.0.1 1"

# FreeBSD
#KILL_ROUTE="route add -net $TARGET$ -netmask 255.255.255.255 127.0.0.1 -blackhole"

# Digital UNIX 4.0D (OSF/1 / Compaq Tru64 UNIX)
#KILL_ROUTE="/sbin/route add -host -blackhole $TARGET$ 127.0.0.1"

# Generic HP-UX
#KILL_ROUTE="/usr/sbin/route add net $TARGET$ netmask 255.255.255.0 127.0.0.1"

##
# Using a packet filter is the PREFERRED. The below lines
# work well on many OS's. Remember, you can only uncomment *one*
# KILL_ROUTE option.
##

# ipfwadm support for Linux
#KILL_ROUTE="/sbin/ipfwadm -I -i deny -S $TARGET$ -o"
#
# ipfwadm support for Linux (no logging of denied packets)
#KILL_ROUTE="/sbin/ipfwadm -I -i deny -S $TARGET$"
#
# ipchain support for Linux
#KILL_ROUTE="/sbin/ipchains -I input -s $TARGET$ -j DENY -l"
#
# ipchain support for Linux (no logging of denied packets)
#KILL_ROUTE="/sbin/ipchains -I input -s $TARGET$ -j DENY"
#
# iptables support for Linux
#KILL_ROUTE="/sbin/iptables -I INPUT -s $TARGET$ -j DROP"
#
# iptables support for Linux with limit and LOG support. Logs only
# a limited number of packets to avoid a denial of service attack.
# KILL_ROUTE="/sbin/iptables -I INPUT -s $TARGET$ -j DROP && /sbin/iptables -I INPUT -s $TARGET$ -m limit --limit 3/minute --limit-burst 5 -j LOG --log-level DEBUG --log-prefix 'Portsentry: dropping: '"
#
# For those of you running FreeBSD (and compatible) you can
# use their built in firewalling as well. 
#
#KILL_ROUTE="/sbin/ipfw add 1 deny all from $TARGET$:255.255.255.255 to any"
#
#
# For those running ipfilt (OpenBSD, etc.)
# NOTE THAT YOU NEED TO CHANGE external_interface TO A VALID INTERFACE!!
#
#KILL_ROUTE="/bin/echo 'block in log on external_interface from $TARGET$/32 to any' | /sbin/ipf -f -"


###############
# TCP Wrappers#
###############

#KILL_HOSTS_DENY="ALL: $TARGET$"

# Format Two: New Style - The format used when extended option
# processing is enabled. You can drop in extended processing
# options, but be sure you escape all '%' symbols with a backslash
# to prevent problems writing out (i.e. \%c \%h )
#
#KILL_HOSTS_DENY="ALL: $TARGET$ : DENY"

###################
# External Command#
###################

#KILL_RUN_CMD_FIRST = "0"

#KILL_RUN_CMD="/some/path/here/script $TARGET$ $PORT$ $MODE$"
# for examples see /usr/share/doc/portsentry/examples/


#####################
# Scan trigger value#
#####################

SCAN_TRIGGER="0"

######################
# Port Banner Section#
######################

#PORT_BANNER="** UNAUTHORIZED ACCESS PROHIBITED *** YOUR CONNECTION ATTEMPT HAS BEEN LOGGED. GO AWAY."

# EOF

Encore merci.

@++

J’aurais du mal à te conseiller car je ne connais pas du tout portsentry. Désolé si j’ai pu laisser penser le contraire.

Merci Pascal, le plus important c’est que tu m’as aidé à régler mon problème, peut être que d’autres auront une réponse sur la configuration idéal de portsentry.

Merci et à bientôt.