Blocka portscanning med PF?

Leif Larsson leif.larsson at l3system.se
Thu Feb 4 19:37:06 CET 2010


En regel motsvarande den här fungerar i alla fall att läsa in i pf.
Testade som hastigast. Har inte testat hur den beter sig i verkligheten 
dock...

Lite finslipning så....

block quick from <bruteforce>
block in quick on $EXT_IF proto tcp from any to ($EXT_IF) \
        port 1 >< 65000 flags S/SA keep state \
       (max-src-conn 3, max-src-conn-rate 3/15, overload <bruteforce> 
\flush global)



On 2010-02-04 19:05, Joakim Aronius wrote:
> Hej Anders,
>
> Jag antar att det är 'max-src-conn-rate' du använder. Har inte testat själv men det borde funka om du skriver en bredare regel på oanvända portar och en 'max-src-conn-rate 3/30' för att fånga portskanningar. Det kan ju missa om de kör slumpade portar men det kanske till och med går att ha max-src-conn-rate på en inledande 'block all' regel... intressant.
>
> /jkm
>
>
> * Anders Troback (freebsd at troback.com) wrote:
>> Hej!
>>
>> Någon som känner till om man kan få PF att känna igen portscanning och
>> eller program som tex. Nessus och Core Impact?
>>
>> Det finns ju en jättefin bruteforce för ssh till PF så jag tänkte att
>> det kanske finns något bra sätt att blocka allt från ett IP som
>> portscannar!
>>
>>
>> \\anders
>> _________________________________________________
>> BSD Users Sweden -- BUS at stacken.kth.se
>> https://lists.stacken.kth.se/mailman/listinfo/bus
> _________________________________________________
> BSD Users Sweden -- BUS at stacken.kth.se
> https://lists.stacken.kth.se/mailman/listinfo/bus


More information about the BUS mailing list