Antiscan - выявление и блокировка подозрительных IP

[dimon27254]

Новая версия 1.6.1.

Улучшения:

1) Игнорирование IP 127.0.0.1 при чтении системных списков ограничения доступа (сообщил @MDP).

В заголовке темы версия пакета была обновлена до 1.6.1.
Предыдущие версии доступны на GitHub.

[dimon27254]

Важное замечание по использованию Antiscan

При включенной геоблокировке (особенно в режиме белого списка) и защите порта 80 возможны неполадки с получением/продлением SSL-сертификатов Let's Encrypt для ваших собственных доменов (не принадлежащих Keen/CrazeDNS).

Это связано с тем, что в режиме геоблокировки Antiscan может закрыть доступ к порту 80, если он был указан в конфиге, с серверов Let's Encrypt, IP которых принадлежат "запрещенным" странам. В результате не пройдет HTTP  проверка, и получение сертификата завершится неудачно.

Вы можете перейти для собственных доменов на DNS проверку (именно такой способ проверки используется Keen/CrazeDNS), или вручную отключать Antiscan, когда необходимо продлить/получить сертификаты.
Еще, как вариант, попробовать изменить список стран для геоблокировки так, чтобы Let's Encrypt мог попытаться получить доступ к порту 80. Однако, Let's Encrypt не публикует список подсетей, с которых возможны обращения, и соответственно, добавить в исключения Antiscan тогда становится нечего.

С получением/продлением SSL-сертификатов для Keen/CrazeDNS проблем никаких нет - там используется DNS проверка, не требующая открытых портов.

[MDP]

Прикольно ... по большому счёту, можно же пользоваться списком от геоблока и другими скриптами ...например определённый сегмент сети например может работать только с сегментом RU например , а остальное запретить (по всем портам и TCP и UDP )...интересно.

 

 

Вот теперь, при таких условиях... скучновато стало. Сутки примерно прошло.)))

Изменено 27 июня пользователем MDP

[FLK]

В 27.06.2025 в 13:54, MDP сказал:

Прикольно ... по большому счёту, можно же пользоваться списком от геоблока и другими скриптами ...например определённый сегмент сети например может работать только с сегментом RU например , а остальное запретить (по всем портам и TCP и UDP )...интересно.

 

 

Вот теперь, при таких условиях... скучновато стало. Сутки примерно прошло.)))

 

Ну все правильно, 90-95% ipv4 заблочено...

Цитата

например определённый сегмент сети например может работать только с сегментом RU например , а остальное запретить (по всем портам и TCP и UDP)

Ничего не понял)

Изменено 30 июня пользователем FLK

[dom]

при добавлении портов больше 15 iptables перестаёт создавать правила, это видимо ограничения самого iptables

Изменено 19 часов назад пользователем dom

[dimon27254]

4 минуты назад, dom сказал:

при добавлении портов больше 15 iptables перестаёт создавать правила, это видимо ограничения самого iptables

На таком количестве портов я работу не проверял 😅

Однако, действительно, максимально можно указать 15 портов. 

[FLK]

3 часа назад, dom сказал:

при добавлении портов больше 15 iptables перестаёт создавать правила, это видимо ограничения самого iptables

Мы вообще изначально планировали защиту 80, 443 и 22 портов, сценариев с таким количеством портов как 10 и более мы даже не пробовали, если честно)

 

[MDP]

Тогда видимо надо предусматривать диапазон портов... 🤔 ... или в конфиге указывать диапазон допустимо?

[dimon27254]

14 минут назад, MDP сказал:

Тогда видимо надо предусматривать диапазон портов... 🤔 ... или в конфиге указывать диапазон допустимо?

Значение переменной PORTS напрямую передается в правила iptables.

Можете попробовать указать там диапазон в виде "1000:2000", но я такое не тестировал за отсутствием необходимости.

В выводе iptables-save вижу, что правила с диапазонами применяются без ошибок.

Изменено 14 часов назад пользователем dimon27254