Antiscan - выявление и блокировка подозрительных IP

[FLK]

[kaguyashaa]

Тизер новой версии?

[FLK]

11 часов назад, kaguyashaa сказал:

Тизер новой версии?

Пока не могу ничего конкретного сказать, но надеюсь, что впереди нас ждёт много интересных идей)

[KeyYerS]

7 часов назад, FLK сказал:

...много интересных идей)

Не запылилось бы всё это вновь в "дальнем ящике"...

Изменено 3 января пользователем KeyYerS
Ошибси малёха...

[FLK]

55 минут назад, KeyYerS сказал:

Скорее это намёк на реализацию функционала в штатную прошивку, как я понял...  

Не запылилось бы всё это вновь в "дальнем ящике"...

Вот тут сразу скажу - не угадали) Проект существует самостоятельно, его идейный вдохновитель и главтестер @FLK, как и автор-разработчик @dimon27254, никакого отношения к компании и прошивке не имеют и вряд-ли когда-то будут иметь)

Но я думаю мы были бы рады, если бы в прошивке появился инструмент равнозначный по функционалу данному проекту

По поводу "запыления" - не думаю, есть запал, огонь в глазах и идеи, они потихоньку реализуются. Как только все будет готово к выпуску в люди, вы узнаете об этом в этой теме)

Изменено 3 января пользователем FLK

[homes]

В 18.09.2025 в 16:40, dimon27254 сказал:

Если у вас используется по какой-либо причине облачный режим доступа Keen/CrazeDNS, то геоблокировка от Antiscan вам, к сожалению, ничем не поможет.

не совсем понял о чем речь, keendns включен только для ikev2 сервера, без него не включается. для доступа извне есть свое днс имя, его и использую для подключения к внутренним ресурсам

[dimon27254]

1 час назад, homes сказал:

не совсем понял о чем речь, keendns включен только для ikev2 сервера, без него не включается. для доступа извне есть свое днс имя, его и использую для подключения к внутренним ресурсам

У вас настроен прямой доступ. Геоблокировка на него будет распространяться.

[homes]

В 13.11.2025 в 03:45, dimon27254 сказал:

Исключения по странам могут работать как самостоятельно, так и вместе с геоблокировкой. 
Возможно указание одной и той же страны одновременно как в списке геоблокировки, так и исключений. Пример использования такого сценария:
Пусть в белом списке находится Россия и Казахстан (разрешены подключения только с IP России и Казахстана). Есть необходимость разрешить пользователям из России неконтролируемый Antiscan доступ к открытым портам, но при этом сохранить работу геоблокировки. В список исключений указывается Россия, и тогда все подключения, принадлежащие российским IP, будут Antiscan игнорироваться. Однако, подключения из Казахстана останутся разрешены, а из остальных стран, не входящих в белый список, запрещены.  

проясните это еще.

если GEOBLOCK_MODE=whitelist
GEOBLOCK_COUNTRIES="RU", то к ру айпи вообще ни как не применяется логика блокировки\счетчиков? 

[dimon27254]

1 минуту назад, homes сказал:

если GEOBLOCK_MODE=whitelist
GEOBLOCK_COUNTRIES="RU", то к ру айпи вообще ни как не применяется логика блокировки\счетчиков? 

Нет.
В этом случае доступ разрешен только с российских IP. При этом, для российских IP работают все остальные защиты (ловушка, блокировка по IP/подсетям).

[dimon27254]

4 минуты назад, homes сказал:

Не удалось найти модуль ядра xt_multiport.ko

Вероятно, у вас не установлен компонент "Модуля ядра для подсистемы Netfilter". Он является обязательным, что описано на первой странице:

В 14.05.2025 в 16:05, dimon27254 сказал:

Требования для корректной работы скрипта:
1) Установленный компонент "Модули ядра для подсистемы Netfilter" (начиная с версии ПО 4.3 доступен без "Протокол IPv6").

Установите его и повторите попытку.

[homes]

Спойлер

ISP_INTERFACES="eth3"
PORTS="80,43241"
PORTS_FORWARDED="443"

ENABLE_HONEYPOT=1
HONEYPOT_PORTS="21,23,25,222,445,2222,5080,5083,5443,8080,8083,8090,8443,65080,65083"
HONEYPOT_BANTIME=864000

ENABLE_IPS_BAN=1
RULES_MASK="255.255.255.255"
RECENT_CONNECTIONS_TIME=30
RECENT_CONNECTIONS_HITCOUNT=15
RECENT_CONNECTIONS_LIMIT=20
RECENT_CONNECTIONS_BANTIME=864000

DIFFERENT_IP_CANDIDATES_STORAGETIME=864000
DIFFERENT_IP_THRESHOLD=5
SUBNETS_BANTIME=864000

IPSETS_DIRECTORY="/opt/etc/antiscan/save"
SAVE_IPSETS=1
SAVE_ON_EXIT=1
USE_CUSTOM_EXCLUDE_LIST=0
CUSTOM_LISTS_BLOCK_MODE=0
GEOBLOCK_MODE=whitelist
GEOBLOCK_COUNTRIES="RU"
GEO_EXCLUDE_COUNTRIES=""

READ_NDM_LOCKOUT_IPSETS=0
LOCKOUT_IPSET_BANTIME=864000

с таким конфигом, при попытке подключиться первый раз, после старта антискан, из приложения  immich андроид к внутреннему серверу immich, на который происходит портфорвардинг 443->443.  мой айпишник мобилы сразу попал в блок

~ # antiscan status
Версия Antiscan:        1.10
Статус:                 работает
Заблокировано адресов:  1
Заблокировано подсетей: 0
Заблокировано ловушкой: 1
Чтение списков NDMS:    отключено
Пользовательские списки не активны
Режим геоблокировки:    белый список
Страны геоблокировки:   RU
Исключения по странам:  отключены

 

очистил списки айпи, отключил HONEYPOT, все равно блочит, как понять почему и что можно изменить в конфиге?

Изменено 19 часов назад пользователем homes
11

[dimon27254]

5 минут назад, homes сказал:

с таким конфигом, при попытке подключиться первый раз, после старта антискан, из приложения  immich андроид к внутреннему серверу immich, на который происходит портфорвардинг 443->443.  мой айпишник мобилы сразу попал в блок

Возможно, ваше приложение создает большое количество соединений, которые и вызывают блокировку. Пробуйте увеличивать следующие значения:

5 минут назад, homes сказал:

RECENT_CONNECTIONS_TIME=30
RECENT_CONNECTIONS_HITCOUNT=15
RECENT_CONNECTIONS_LIMIT=20

Описание каждого параметра приведено на первой странице темы.