Проблема с PortSentry

[AHapku]

FreeBSD 7.1

Добрый день. Проблема следующего характера: установил PortSentry по статье лиса http://www.lissyara.su/?id=1145. Вот конфиг:

Код: Выделить всё

 PortSentry Configuration

# TCP-порты для прослушивания
TCP_PORTS="1,11,15,23,79,81,111,119,540,635,1080,1524,2000,5742,6667,8080,8085"
# UPD-порты для прослушивания
UDP_PORTS="1,7,9,69,513,635,640,641,700"


ADVANCED_PORTS_TCP="1024"
ADVANCED_PORTS_UDP="1024"

# порты исключаемые из прослушивания при работе в Advanced mode
ADVANCED_EXCLUDE_TCP="113,139"
ADVANCED_EXCLUDE_UDP="520,138,137,67"

# Список игнорируемых хостов
IGNORE_FILE="/usr/local/etc/portsentry.ignore"

# Список хостов внесённых в блэклисты
HISTORY_FILE="/usr/local/etc/portsentry.history"

# Заблокированные хосты
BLOCKED_FILE="/usr/local/etc/portsentry.blocked"


# Резольвировать или нет
RESOLVE_HOST = "0"

Что делать при обнаружении:
# 0 = Do not block UDP/TCP scans.
# 1 = Block UDP/TCP scans.
# 2 = Run external command only (KILL_RUN_CMD)

BLOCK_UDP="2"
BLOCK_TCP="2"

# Команда на занесение хоста в таблицу
KILL_ROUTE="/sbin/ipfw table 0 add $TARGET$"

#KILL_ROUTE="/sbin/ipfw add 100 deny all from $TARGET$:255.255.255.255 to any"

#KILL_HOSTS_DENY="ALL: $TARGET$"

#KILL_HOSTS_DENY="ALL: $TARGET$ : DENY"

KILL_RUN_CMD_FIRST = "0"

KILL_RUN_CMD="/usr/script/work/scan_port_mail $TARGET$ $PORT$"

SCAN_TRIGGER="1"

#PORT_BANNER="*** YOUR CONNECTION ATTEMPT HAS BEEN LOGGED. GO AWAY."

Пару дней всё работало идеально) враги ловились, заносились в таблицу и удачно блокировались фаерволом... И вдруг ни с того ни с сего перестала ловить! Сканировал порты с разных компов. Рестарта системы не было, ps ax показывает что PortSentry работает! В чём может быть причина?

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[schizoid]

почистить хистори блокировок портсентри?

[AHapku]

хистори почистил. Без результата. Не заносятся ip в таблицу!

[AHapku]

неужели никто не сталкивался с такой проблемой? Ещё раз опишу, portsentry настроен так что заносит ip злоумышленника в таблицу, которая блокируется правилами ipfw. до недавнего времени всё работало хорошо, а щас тупо не добавляется ip в таблицу! Вручную в таблицу добавляются адреса нормально!

[zingel]

а ipfw хочет чтобы в него что-то добавляли через эту программу?

[AHapku]

Так нормально же всё работало! 5 дней-как часы=) Portsentry просто вместо блокирования файла, суёт его в таблицу ipfw.

[zingel]

просто вместо блокирования файла

какого файла?

[AHapku]

извиняюсь) не файла а айпишника

[zingel]

нутк а ipfw его блокирует или нет, добавляет или нет, посканьте себя с левого адреса и в логи.

[AHapku]

Просканировал с левых ip, в логах PortSentry (ee /usr/local/etc/portsentry.history) записи появились:

Код: Выделить всё

1235965114 - 03/02/2009 06:38:34 Host: 111.111.111.111/222.222.222.222.60 Port: 23 TCP Blocked
1235971551 - 03/02/2009 08:25:51 Host:111.111.111.111/222.222.222.222 Port: 23 TCP Blocked

В ipfw show:

Код: Выделить всё

 00100       0          0 deny log logamount 100 ip from table(0) to me

[AHapku]

При попытке перезагрузить PortSentry выдаёт вот такую фигню.... У гугля спрашивал=) не помог

Код: Выделить всё

PortSentry - Port Scan Detector.
Copyright 1997-2003 Craig H. Rowland <craigrowland at users dot sourceforget dot net>
Licensing restrictions apply. Please see documentation
Version: 1.2

Stealth scan detection not supported on this platform
usage: portsentry [-tcp -udp]

*** PLEASE READ THE DOCS BEFORE USING ***