Blocka portscanning med PF?
Joakim Aronius
joakim at aronius.com
Thu Feb 11 12:37:35 CET 2010
* Leif Larsson (leif.larsson at l3system.se) wrote:
> En regel motsvarande den här fungerar i alla fall att läsa in i pf.
> Testade som hastigast. Har inte testat hur den beter sig i verkligheten
> dock...
>
> Lite finslipning så....
>
> block quick from <bruteforce>
> block in quick on $EXT_IF proto tcp from any to ($EXT_IF) \
> port 1 >< 65000 flags S/SA keep state \
> (max-src-conn 3, max-src-conn-rate 3/15, overload <bruteforce>
> \flush global)
>
Efter att ha meckat lite med mina regler och läst en del loggar så insåg jag att det ev kan vara problem med ovanstående. För att en nod ska bli svartlistad så måste de iofs träffa block regeln men om man har en aggresivt satt max-src-conn-rate, typ 3/15, så är det risk att man svartlistar en host bara för att den försöker ansluta till en tjänst och automatiskt gör 3 retries på TCP nivå. (tex försöker ansluta till ftp/http som inte är öppet).
Jag hade lite strul med bittorrent som gjorde att jag blockade inkkommande UDP, detta hade resulterat i svartlistning med ovanstående regel. För att fånga portskanningar skulle man kunna öka gränsvärden men det är inte helt riskfritt.
Bara som en varning.. :)
/J
More information about the BUS
mailing list