У меня есть vps, на котором размещается некоторая услуга, которую я использовал. Сегодня я нашел, что кто-то сканировал мои vps с помощью
netstat -ntu | awk '{print $5}' |sort | uniq -c | sort -n
И нашел некоторый результат (я удалил свой ip снизу)
1 xxxxxxxxxxx:59564
1 xxxxxxxxxxx:59569
1 xxxxxxxxxxx:59570
1 xxxxxxxxxxx:59576
1 120.236.148.199:2226
1 127.0.0.1:41108
1 127.0.0.1:41148
1 127.0.0.1:41156
1 127.0.0.1:41158
1 127.0.0.1:41178
1 127.0.0.1:41180
1 183.61.236.54:3128
1 213.13.37.231:3128
1 218.244.149.184:8888
1 46.164.141.173:8080
1 58.96.172.205:8888
1 Address
1 servers)
2 ::1:9988
2 219.156.157.186:80
10 127.0.0.1:3306
11 127.0.0.1:3999
У меня есть веб-сервис только для себя, Я хочу запретить все ip, когда они обращаются к другим портам, но есть некоторые проблемы.
Я установил прокси-сервер socks5 на 8699, но, похоже, откроется какой-то другой порт для моего соединения:tcp6 0 0 default.hostname:8699 my_vps_ip_here.bro:59570 ESTABLISHED
tcp6 0 0 default.hostname:8699 my_vps_ip_here.bro:59576 ESTABLISHED
tcp6 0 0 default.hostname:8699 my_vps_ip_here.bro:59564 ESTABLISHED
tcp6 0 0 default.hostname:8699 my_vps_ip_here.bro:59569 ESTABLISHED
netstat -ntu | awk '{print $5}' |sort | uniq -c | sort -n не показывает, что я подключаю 8699, только показывает 59570, 59576, 59564, 59569. Какое правильное правило для этого случая? Каков рекомендуемый способ автоматического запрета IP? Я только придумал: продолжайте проверять результат netstat -ntu | awk '{print $5}' |sort | uniq -c | sort -n каждую секунду и добавляйте плохой ip в iptables. Я знаю, что iptables и ufw могут запретить ip, ufw больше похож на менеджера, но есть ли лучший выбор? psad проверяет для portscans и может реагировать соответственно, проверьте эту ссылку для краткого описания того, как ее настроить. Я просто искал ее, есть множество других уроков.
Кроме того, psad может быть чем-то для вас, см. Ссылку для получения дополнительной информации. Он по существу проверяет для вас лог-файлы и может автоматически блокировать IP-адреса. Он доступен в репозиториях ubuntu, см. Здесь.