Antiscan - выявление и блокировка подозрительных IP

[dimon27254]

Новая версия 1.6.1.

Улучшения:

1) Игнорирование IP 127.0.0.1 при чтении системных списков ограничения доступа (сообщил @MDP).

Изменено Понедельник в 16:04 пользователем dimon27254

[dimon27254]

Важное замечание по использованию Antiscan

При включенной геоблокировке (особенно в режиме белого списка) и защите порта 80 возможны неполадки с получением/продлением SSL-сертификатов Let's Encrypt для ваших собственных доменов (не принадлежащих Keen/CrazeDNS).

Это связано с тем, что в режиме геоблокировки Antiscan может закрыть доступ к порту 80, если он был указан в конфиге, с серверов Let's Encrypt, IP которых принадлежат "запрещенным" странам. В результате не пройдет HTTP  проверка, и получение сертификата завершится неудачно.

Вы можете перейти для собственных доменов на DNS проверку (именно такой способ проверки используется Keen/CrazeDNS), или вручную отключать Antiscan, когда необходимо продлить/получить сертификаты.
Еще, как вариант, попробовать изменить список стран для геоблокировки так, чтобы Let's Encrypt мог попытаться получить доступ к порту 80. Однако, Let's Encrypt не публикует список подсетей, с которых возможны обращения, и соответственно, добавить в исключения Antiscan тогда становится нечего.

С получением/продлением SSL-сертификатов для Keen/CrazeDNS проблем никаких нет - там используется DNS проверка, не требующая открытых портов.

[MDP]

Прикольно ... по большому счёту, можно же пользоваться списком от геоблока и другими скриптами ...например определённый сегмент сети например может работать только с сегментом RU например , а остальное запретить (по всем портам и TCP и UDP )...интересно.

 

 

Вот теперь, при таких условиях... скучновато стало. Сутки примерно прошло.)))

Изменено 27 июня пользователем MDP

[FLK]

В 27.06.2025 в 13:54, MDP сказал:

Прикольно ... по большому счёту, можно же пользоваться списком от геоблока и другими скриптами ...например определённый сегмент сети например может работать только с сегментом RU например , а остальное запретить (по всем портам и TCP и UDP )...интересно.

 

 

Вот теперь, при таких условиях... скучновато стало. Сутки примерно прошло.)))

 

Ну все правильно, 90-95% ipv4 заблочено...

Цитата

например определённый сегмент сети например может работать только с сегментом RU например , а остальное запретить (по всем портам и TCP и UDP)

Ничего не понял)

Изменено 30 июня пользователем FLK

[dom]

при добавлении портов больше 15 iptables перестаёт создавать правила, это видимо ограничения самого iptables

Изменено 6 июля пользователем dom

[dimon27254]

4 минуты назад, dom сказал:

при добавлении портов больше 15 iptables перестаёт создавать правила, это видимо ограничения самого iptables

На таком количестве портов я работу не проверял 😅

Однако, действительно, максимально можно указать 15 портов. 

[FLK]

3 часа назад, dom сказал:

при добавлении портов больше 15 iptables перестаёт создавать правила, это видимо ограничения самого iptables

Мы вообще изначально планировали защиту 80, 443 и 22 портов, сценариев с таким количеством портов как 10 и более мы даже не пробовали, если честно)

 

[MDP]

Тогда видимо надо предусматривать диапазон портов... 🤔 ... или в конфиге указывать диапазон допустимо?

[dimon27254]

14 минут назад, MDP сказал:

Тогда видимо надо предусматривать диапазон портов... 🤔 ... или в конфиге указывать диапазон допустимо?

Значение переменной PORTS напрямую передается в правила iptables.

Можете попробовать указать там диапазон в виде "1000:2000", но я такое не тестировал за отсутствием необходимости.

В выводе iptables-save вижу, что правила с диапазонами применяются без ошибок.

Изменено 6 июля пользователем dimon27254

[dom]

В 06.07.2025 в 15:42, FLK сказал:

сценариев с таким количеством портов

Я без претензий. Столкнулся с этим. Вижу блокировки в ноль вышли,, думаю.... странно. Обнаружил это

[MDP]

1 минуту назад, dom сказал:

Я без претензий. Столкнулся с этим. Вижу блокировки в ноль вышли,, думаю.... странно. Обнаружил это

Чисто для повышения самообразования, а зачем столько открытых портов? 

[dom]

11 минут назад, MDP сказал:

зачем

всякие разные сервисы, сам удивляюсь

[dimon27254]

Вышла новая версия 1.7.

Новое:

1) Раздельная настройка защиты открытых и переадресованных портов.
Теперь в параметре PORTS указываются только порты служб, работающих на самом устройстве.
Настройка переадресованных портов перенесена в новый параметр PORTS_FORWARDED.
Обратите внимание: при обновлении на 1.7 ваш список портов из PORTS будет скопирован в PORTS_FORWARDED для совместимости. Отредактируйте новый параметр при необходимости, исключив ненужные порты.

2) Проверка корректности параметров, указанных в ascn.conf (сообщил @dom).
3) Вывод версии установленного Antiscan по команде antiscan version.

Исправления:

1) При READ_NDM_LOCKOUT_IPSETS=0 и вызове antiscan save или antiscan list ndm_lockout в консоли появлялось сообщение "ipset v7.21: The set with the given name does not exist".

В заголовке темы версия пакета была обновлена до 1.7.
Предыдущие версии доступны на GitHub.

[Solomon555]

14 часов назад, dimon27254 сказал:

Настройка переадресованных портов перенесена в новый параметр PORTS_FORWARDED.

В этот параметр надо вписывать порт со стороны входа или со стороны выхода?

[FLK]

10 минут назад, Solomon555 сказал:

В этот параметр надо вписывать порт со стороны входа или со стороны выхода?

Защита устройств, подключенных к роутеру и использующих перенаправление портов (предложено @avn и @kaguyashaa).
Обратите внимание: в "PORTS" необходимо будет указать номер порта устройства (поле "направлять на порт" в веб-интерфейсе), на который направляется трафик, а не номер, который "смотрит" в интернет ("открыть порт").

[Solomon555]

9 минут назад, FLK сказал:

Обратите внимание: в "PORTS" необходимо будет указать номер порта устройства

это понятно. речь про параметр PORTS_FORWARDED.

в чем его смысл в таком случае?

просто чтобы разделить на разные параметры порты на роутере и переадресованные?

Изменено Вторник в 07:12 пользователем Solomon555

[MDP]

Действительно вопрос...?

На устройстве прописаны доменные имена обратного прокси.

Снаружи вё подключается по 443 порту роутера, потом переадресуется на разные устройства в сети ..80 8080 8081 и т.д  (прямой доступ без авторизации)

В PORTS_FORWARDED прописываем 80 8080 8081 и т.д.  или просто в PORTS достаточно прописать 443 ?

 

[dimon27254]

2 часа назад, Solomon555 сказал:

В этот параметр надо вписывать порт со стороны входа или со стороны выхода?

2 часа назад, Solomon555 сказал:

это понятно. речь про параметр PORTS_FORWARDED.

в чем его смысл в таком случае?

просто чтобы разделить на разные параметры порты на роутере и переадресованные?

В PORTS_FORWARDED указываются порты из поля "направлять на порт" в правилах переадресации. То есть, порты самих хостов.

Разделение было сделано для гибкой настройки защиты. До 1.7, если вам нужно защитить, например, порт 80 у хоста в локальной сети, который "смотрит" в интернет, то было необходимо его указывать в PORTS, и защита включалась также для порта 80 самого роутера. Это может быть не всегда нужно.

Также благодаря разделению теперь можно указать в сумме до 30 портов - 15 для служб роутера, и 15 переадресованных.

 

Изменено Вторник в 09:32 пользователем dimon27254

[dimon27254]

1 минуту назад, MDP сказал:

Действительно вопрос...?

На устройстве прописаны доменные имена обратного прокси.

Снаружи вё подключается по 443 порту роутера, потом переадресуется на разные устройства в сети ..80 8080 8081 и т.д  (прямой доступ без авторизации)

В PORTS_FORWARDED прописываем 80 8080 8081 и т.д.  или просто в PORTS достаточно прописать 443 ?

В этом случае в PORTS_FORWARDED ничего указывать не нужно, так как "прямого" перенаправления портов здесь нет - веб-сервер роутера одним портом (443) "смотрит" в интернет, а далее самостоятельно направляет запросы куда нужно.

Поэтому достаточно порта 443 в PORTS.

[Solomon555]

31 минуту назад, dimon27254 сказал:

В PORTS_FORWARDED указываются порты из поля "направлять на порт"

Если номера портов на входе и выходе не совпадают, то достаточно прописать порты выхода в параметр PORTS_FORWARDED или надо еще прописать порты входа в параметре PORTS?

[dimon27254]

48 минут назад, Solomon555 сказал:

Если номера портов на входе и выходе не совпадают, то достаточно прописать порты выхода в параметр PORTS_FORWARDED или надо еще прописать порты входа в параметре PORTS?

Указываете только выходные порты в PORTS_FORWARDED.

В PORTS входные указывать нет необходимости.

Если входные и выходные совпадают, то указывать нужно все равно только в PORTS_FORWARDED.

Изменено Вторник в 10:49 пользователем dimon27254

[kaguyashaa]

А нет планов сделать что-то типо полноценного репозитория, чтоб штатными средствами entware (opkg) можно было обновлять пакеты?
 

[FLK]

8 минут назад, kaguyashaa сказал:

А нет планов сделать что-то типо полноценного репозитория, чтоб штатными средствами entware (opkg) можно было обновлять пакеты?
 

Ваш вопрос очень важен для нас... оставайтесь на линии и наш специалист свяжется с вами)

Насколько я знаю - нет)

[dimon27254]

20 минут назад, kaguyashaa сказал:

А нет планов сделать что-то типо полноценного репозитория, чтоб штатными средствами entware (opkg) можно было обновлять пакеты?

Пока что нет.

[roma33region]

В 15.07.2025 в 18:47, dimon27254 сказал:

добрый вечер подскажите пожалуйста поподробней какие в этих строчках должны быть порты PORTS="" - порты на которых работает кинетик ?
PORTS_FORWARDED="" - порты которые проброшены в локальную сеть ?

 

 

[dimon27254]

9 часов назад, roma33region сказал:

добрый вечер подскажите пожалуйста поподробней какие в этих строчках должны быть порты PORTS="" - порты на которых работает кинетик ?
PORTS_FORWARDED="" - порты которые проброшены в локальную сеть ?

В PORTS пишутся порты служб, которые работают на самом роутере и "смотрят" в интернет. То есть, например, это telnet, ssh, веб-интерфейс. Тогда PORTS="22,23,80,443"

 

В PORTS_FORWARDED вы указываете порты самих устройств, на которые идёт перенаправление трафика. Например, у вас есть правило переадресации, где в поле "открыть порт" указано 12345, а в "направлять на порт" 80. Соответственно, вы указываете в PORTS_FORWARDED тогда как раз 80.

Если значение в "открыть порт" и "направлять на порт" одинаковые, например, 34567, то в PORTS_FORWARDED вводите 34567.

Совместив два правила переадресации, тогда получается PORTS_FORWARDED="80,34567"