Как забанить?

MiguelKi

всем привет, вообщем проблема такая, свежая Фрюха 9.3 поставил на ней portsentry (+ на ipfw прописал по инструкции лисяры), но в логах вот какая фигня:

Код: Выделить всё

May 25 14:35:24 freebsd2 portsentry[957]: attackalert: Connect from host: dsl-189-157-218-16-dyn.prod-infinitum.com.mx/189.157.218.16 to TCP port: 22
May 25 14:35:24 freebsd2 portsentry[957]: attackalert: Host: 189.157.218.16 is already blocked. Ignoring
May 25 14:35:45 freebsd2 portsentry[957]: attackalert: Connect from host: dsl-189-157-218-16-dyn.prod-infinitum.com.mx/189.157.218.16 to TCP port: 22
May 25 14:35:45 freebsd2 portsentry[957]: attackalert: Host: 189.157.218.16 is already blocked. Ignoring
May 25 14:38:17 freebsd2 portsentry[957]: attackalert: Connect from host: dsl-189-157-218-16-dyn.prod-infinitum.com.mx/189.157.218.16 to TCP port: 23
May 25 14:38:17 freebsd2 portsentry[957]: attackalert: Host: 189.157.218.16 is already blocked. Ignoring
May 25 14:42:15 freebsd2 portsentry[957]: attackalert: Connect from host: dsl-189-157-218-16-dyn.prod-infinitum.com.mx/189.157.218.16 to TCP port: 23
May 25 14:42:15 freebsd2 portsentry[957]: attackalert: Host: 189.157.218.16 is already blocked. Ignoring
May 25 14:49:50 freebsd2 portsentry[957]: attackalert: Connect from host: dsl-189-157-218-16-dyn.prod-infinitum.com.mx/189.157.218.16 to TCP port: 23
May 25 14:49:50 freebsd2 portsentry[957]: attackalert: Host: 189.157.218.16 is already blocked. Ignoring
May 25 14:56:26 freebsd2 portsentry[957]: attackalert: Connect from host: dsl-189-157-218-16-dyn.prod-infinitum.com.mx/189.157.218.16 to TCP port: 22
May 25 14:56:26 freebsd2 portsentry[957]: attackalert: Host: 189.157.218.16 is already blocked. Ignoring
May 25 15:01:06 freebsd2 portsentry[957]: attackalert: Connect from host: dsl-189-157-218-16-dyn.prod-infinitum.com.mx/189.157.218.16 to TCP port: 22
May 25 15:01:06 freebsd2 portsentry[957]: attackalert: Host: 189.157.218.16 is already blocked. Ignoring
May 25 15:14:37 freebsd2 portsentry[957]: attackalert: Connect from host: dsl-189-157-218-16-dyn.prod-infinitum.com.mx/189.157.218.16 to TCP port: 23
May 25 15:14:37 freebsd2 portsentry[957]: attackalert: Host: 189.157.218.16 is already blocked. Ignoring
May 25 15:29:01 freebsd2 portsentry[957]: attackalert: Connect from host: dsl-189-157-218-16-dyn.prod-infinitum.com.mx/189.157.218.16 to TCP port: 22
May 25 15:29:01 freebsd2 portsentry[957]: attackalert: Host: 189.157.218.16 is already blocked. Ignoring
May 25 15:43:47 freebsd2 portsentry[957]: attackalert: Connect from host: dsl-189-157-218-16-dyn.prod-infinitum.com.mx/189.157.218.16 to TCP port: 22
May 25 15:43:47 freebsd2 portsentry[957]: attackalert: Host: 189.157.218.16 is already blocked. Ignoring
May 25 15:54:08 freebsd2 portsentry[957]: attackalert: Connect from host: dsl-189-157-218-16-dyn.prod-infinitum.com.mx/189.157.218.16 to TCP port: 23
May 25 15:54:08 freebsd2 portsentry[957]: attackalert: Host: 189.157.218.16 is already blocked. Ignoring
May 25 16:02:39 freebsd2 portsentry[957]: attackalert: Connect from host: dsl-189-157-218-16-dyn.prod-infinitum.com.mx/189.157.218.16 to TCP port: 23
May 25 16:02:39 freebsd2 portsentry[957]: attackalert: Host: 189.157.218.16 is already blocked. Ignoring
May 25 16:04:02 freebsd2 portsentry[957]: attackalert: Connect from host: dsl-189-157-218-16-dyn.prod-infinitum.com.mx/189.157.218.16 to TCP port: 22
May 25 16:04:02 freebsd2 portsentry[957]: attackalert: Host: 189.157.218.16 is already blocked. Ignoring

и не помогу понять почему portsentry его не блочит, хотя все эти порты у него прописаны в правилах + сам лично тестил когда стучусь на 22 порт меня сразу зафорачивает на ipfw и блочит.

вот например след кадр:

Код: Выделить всё

May 25 19:43:45 freebsd2 portsentry[839]: attackalert: Connect from host: 222.186.160.50/222.186.160.50 to TCP port: 22
May 25 19:43:45 freebsd2 portsentry[839]: attackalert: Host 222.186.160.50 has been blocked via wrappers with string: "ALL: 222.186.160.50"
May 25 19:43:45 freebsd2 portsentry[839]: attackalert: Host 222.186.160.50 has been blocked via dropped route using command: "/sbin/ipfw add 1 deny all from 222.186.160.50:255.255

и его в ipfw заблочило.

Вопрос почему одного заблочило, а второй продолжает спокойно долбиться по всем портам?

Хостинг HostFood.ru · **Хостинг HostFood.ru**

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Bayerische

Смотрите, какие правила добавились в IPFW, или элементы таблицы, что там у вас.

MiguelKi

как я понимаю тут наверное проблема не в ipfw а в том откуда ломятся в первом варианте он ломился с Connect from host: dsl-189-157-218-16-dyn.prod-infinitum.com.mx а во втором он ломился с Connect from host: 222.186.160.50/222.186.160.50 т.е. по имени он не блочит, а по ip блочит сразу.

Bayerische

Нормально. А зачем вы блочите по имени?

forum.lissyara.su