Запретить сканирование сети

[RusBiT]

У меня такая проблема. В сети есть вирус у определенного человека, он сканирует порты, а у моего провайдера стоит ограничение на определенное кол-во одновременно открытых портов, и если этот человек врубает свой комп, то срабатывает блокировка у провайдера на интернет. Если я например блокирую ip адрес этого пользователя на шлюзе, то всё нормально (он не доходит то инета)

Не подскажете тулзу которая может автоматически находит сканирование айпи адресов и портов, и автоматически банит данный ip, и например выводит сообщение - вы забанены

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[Alex Keda]

ну, чтобы прям сообщение - аже не знаю, а вот насчёт сканирования - поможет что-то типа snort/portsentry, - но уж как ты будешь их привязывать к блокировке - не знаю...

[dikens3]

На ipfw можно сделать ограничение на количество SYN пакетов, и делов то. (Для этого IP)

P.S. А что мешает убрать вирус? Зачем бороться со следствием?

[BigBrother]

как вариант, есть snort_inline который в отличии от простого snort`a, умеет работать c iptables/ipfw. Тоесть в случае чего, дает команду фаерволлу заблокировать... Но, разве не лучше будет убрать вирус на проблемной машине, как уже было сказано/предложено выше?

[RusBiT]

как вариант, есть snort_inline который в отличии от простого snort`a, умеет работать c iptables/ipfw. Тоесть в случае чего, дает команду фаерволлу заблокировать... Но, разве не лучше будет убрать вирус на проблемной машине, как уже было сказано/предложено выше?

В сети около 250 компьютеров, убрать конечно можно (так и сделали), но снова же может такое повториться, заблокировать интернет всей сети
А если просто файрволом блокировать - то пользователи явно не поймут из за чего такое произошло...

[Alex Keda]

редирект на локальный сайт, где будет написана прична

[RusBiT]

редирект на локальный сайт, где будет написана прична

Тож выход. Только вот пользователь к примеру, убрал у себя вирус, или прекратил сканирование сети, а разбанить себя не сможет, придется звонить в контору.
Хочется полной оптимизации

[Alex Keda]

раз в сутки кроном убирать правила...

[RusBiT]

раз в сутки кроном убирать правила...

Не напишите мануал ?

[Alex Keda]

нет
некогда

[RusBiT]

нет
некогда

Тогда хотелось бы увидеть эти правила на файрвол которые блокируют, а потом перекидывают на http урл

[Alex Keda]

Код: Выделить всё

man ipfw

секция fwd
и, кстати, это тут где-то обсуждалось

[BigBrother]

А если просто файрволом блокировать - то пользователи явно не поймут из за чего такое произошло...

А вы на главной странице сайта этой конторы, зделайте не большую сноску типа

Код: Выделить всё

"если вдруг у вас перестали работать все сервисы локальной сети (файл. сервер, фтп. сервер, игровой сервер и т.д) значит ваш комп заражен или отпраляет злонамерные пакеты и вы были заблокированы до выясненния объстоятельств. Если вы уверены что вы "вылечили" свой комп от заразы, звоните 999-999-999." 

После того как его разбанят и есть он все же НЕ вылечился, то фаер автоматически его сново забанит. Тогда пусть вызывает спеца надом. Вам это только +, как доп. заработок)))

[RusBiT]

А чем можно узнать какой ip адрес больше всего делает запросы в секунду к примеру ? А то tcpdump'ом не очень удобно смотреть

[Alex Keda]

а снорт - неможет чтоли?

[serge]

portsentry умеет выполнять скрипт при обнаружении сканирования. Там как раз добавляются правила для ipfw. Можно попробовать прикрутить отправку почтовго уведомления пользователю.