如何在 psad 中启用特定地址(或范围)的端口扫描?
默认情况下,我会从自己的监控服务中获取大量日志。我该如何告诉 psad 将我的地址或域视为受信任的地址或域?
我想避免将它们添加到 /etc/hosts.allow 文件中。
以下是日志文件消息示例:
Scanned UDP ports: [36604-53945: 3 packets, Nmap: -sU]
iptables chain: INPUT, 3 packets
Source: a.b.c.200
DNS: ns3-cache.example.com
Destination: a.b.c.185
DNS: my.machine.example.com
答案1
要将 IP 或范围列入白名单,请使用该/etc/psad/auto_dl文件:
它有展示其功能的示例:
# <IP address> <danger level> <optional protocol>/<optional ports>;
#
# Examples:
#
# 10.111.21.23 5; # Very bad IP.
# 127.0.0.1 0; # Ignore this IP.
# 10.10.1.0/24 0; # Ignore traffic from this entire class C.
# 192.168.10.4 3 tcp; # Assign danger level 3 if protocol is tcp.
# 10.10.1.0/24 3 tcp/1-1024; # Danger level 3 for tcp port range
您需要Ignore规则的类型,因为它将设置danger level为零,从而有效地忽略该 IP/范围。