[iptables]Detecter un scan

Amis du soir bonsoir,

Je cherche un moyen de detecter un scan de ports, même sur les ports fermés, ben oui sinon c’est facile. J’ai trouver sur des sites qui parlait d’un patch psd pouvais faire ca, j’ai bien trouver un vieux package ubuntu (kernel-patch-psd) mais aucun debian, et même un patch tar.gz sur un site rien, comme si il n’existait plus :frowning:.

Est ce que quelqu’un connais ce patch et sait on l’on peut le trouver? Ou un solution alternative à ça?

Merci;

Un exemple de règles que l’on peut utiliser avec

iptables -A INPUT -p tcp -m psd -j DROP

tu peux faire plus simple, quoi que :laughing:

tu places des point sur des port spécifique avec log ou ulog.

Ensuite tu te fait un script qui va lire tout les x minute soi les donnée , soie a la taille du fichier. si oui action a faire.
Autrement il y a fail2ban je crois

moi je ne m’em**** plus avec ça puisque seule les applications autorisées peuve sortire. donc aux pire sa me plente l’appli ou si celle ci a une faille sa peux allez plus loin ce qui est peux probable car root n’a pas l’autorisation de sortire, il faudrai donc une defaillance de iptables :slightly_smiling:
sinon c’est que l’user qui mange.

Si tu veux un peu d’infos (en anglais - pas le choix)

http://jengelh.hopto.org/p/chaostables/fw.html#se2

[quote=“panthere”]tu peux faire plus simple, quoi que :laughing:

tu places des point sur des port spécifique avec log ou ulog.

Ensuite tu te fait un script qui va lire tout les x minute soi les donnée , soie a la taille du fichier. si oui action a faire.
Autrement il y a fail2ban je crois

moi je ne m’em**** plus avec ça puisque seule les applications autorisées peuve sortire. donc aux pire sa me plente l’appli ou si celle ci a une faille sa peux allez plus loin ce qui est peux probable car root n’a pas l’autorisation de sortire, il faudrai donc une defaillance de iptables :slightly_smiling:
sinon c’est que l’user qui mange.[/quote]

C’est ce que je fais déjà, mais je veux mieux (ouais je suis chiant et exigeant :laughing: )

Interressant ton lien thialme merci, et l’anglais me rebute pas (trop) lol.

au fait, l’extension psd n’est plus maintenue.

http://www.plouf.fr.eu.org/bazar/netfilter/changements-netfilter-2.6.html#iptables-1.3.8

Pour le lien, c’est utile de comprendre ce qu’est un scan avant de vouloir les bloquer :p!