Antiscan - выявление и блокировка подозрительных IP

[FLK]

[kaguyashaa]

Тизер новой версии?

[FLK]

11 часов назад, kaguyashaa сказал:

Тизер новой версии?

Пока не могу ничего конкретного сказать, но надеюсь, что впереди нас ждёт много интересных идей)

[KeyYerS]

7 часов назад, FLK сказал:

...много интересных идей)

Не запылилось бы всё это вновь в "дальнем ящике"...

Изменено 3 января пользователем KeyYerS
Ошибси малёха...

[FLK]

55 минут назад, KeyYerS сказал:

Скорее это намёк на реализацию функционала в штатную прошивку, как я понял...  

Не запылилось бы всё это вновь в "дальнем ящике"...

Вот тут сразу скажу - не угадали) Проект существует самостоятельно, его идейный вдохновитель и главтестер @FLK, как и автор-разработчик @dimon27254, никакого отношения к компании и прошивке не имеют и вряд-ли когда-то будут иметь)

Но я думаю мы были бы рады, если бы в прошивке появился инструмент равнозначный по функционалу данному проекту

По поводу "запыления" - не думаю, есть запал, огонь в глазах и идеи, они потихоньку реализуются. Как только все будет готово к выпуску в люди, вы узнаете об этом в этой теме)

Изменено 3 января пользователем FLK

[homes]

В 18.09.2025 в 16:40, dimon27254 сказал:

Если у вас используется по какой-либо причине облачный режим доступа Keen/CrazeDNS, то геоблокировка от Antiscan вам, к сожалению, ничем не поможет.

не совсем понял о чем речь, keendns включен только для ikev2 сервера, без него не включается. для доступа извне есть свое днс имя, его и использую для подключения к внутренним ресурсам

[dimon27254]

1 час назад, homes сказал:

не совсем понял о чем речь, keendns включен только для ikev2 сервера, без него не включается. для доступа извне есть свое днс имя, его и использую для подключения к внутренним ресурсам

У вас настроен прямой доступ. Геоблокировка на него будет распространяться.

[homes]

В 13.11.2025 в 03:45, dimon27254 сказал:

Исключения по странам могут работать как самостоятельно, так и вместе с геоблокировкой. 
Возможно указание одной и той же страны одновременно как в списке геоблокировки, так и исключений. Пример использования такого сценария:
Пусть в белом списке находится Россия и Казахстан (разрешены подключения только с IP России и Казахстана). Есть необходимость разрешить пользователям из России неконтролируемый Antiscan доступ к открытым портам, но при этом сохранить работу геоблокировки. В список исключений указывается Россия, и тогда все подключения, принадлежащие российским IP, будут Antiscan игнорироваться. Однако, подключения из Казахстана останутся разрешены, а из остальных стран, не входящих в белый список, запрещены.  

проясните это еще.

если GEOBLOCK_MODE=whitelist
GEOBLOCK_COUNTRIES="RU", то к ру айпи вообще ни как не применяется логика блокировки\счетчиков? 

[dimon27254]

1 минуту назад, homes сказал:

если GEOBLOCK_MODE=whitelist
GEOBLOCK_COUNTRIES="RU", то к ру айпи вообще ни как не применяется логика блокировки\счетчиков? 

Нет.
В этом случае доступ разрешен только с российских IP. При этом, для российских IP работают все остальные защиты (ловушка, блокировка по IP/подсетям).

[dimon27254]

4 минуты назад, homes сказал:

Не удалось найти модуль ядра xt_multiport.ko

Вероятно, у вас не установлен компонент "Модуля ядра для подсистемы Netfilter". Он является обязательным, что описано на первой странице:

В 14.05.2025 в 16:05, dimon27254 сказал:

Требования для корректной работы скрипта:
1) Установленный компонент "Модули ядра для подсистемы Netfilter" (начиная с версии ПО 4.3 доступен без "Протокол IPv6").

Установите его и повторите попытку.

[homes]

Спойлер

ISP_INTERFACES="eth3"
PORTS="80,43241"
PORTS_FORWARDED="443"

ENABLE_HONEYPOT=1
HONEYPOT_PORTS="21,23,25,222,445,2222,5080,5083,5443,8080,8083,8090,8443,65080,65083"
HONEYPOT_BANTIME=864000

ENABLE_IPS_BAN=1
RULES_MASK="255.255.255.255"
RECENT_CONNECTIONS_TIME=30
RECENT_CONNECTIONS_HITCOUNT=15
RECENT_CONNECTIONS_LIMIT=20
RECENT_CONNECTIONS_BANTIME=864000

DIFFERENT_IP_CANDIDATES_STORAGETIME=864000
DIFFERENT_IP_THRESHOLD=5
SUBNETS_BANTIME=864000

IPSETS_DIRECTORY="/opt/etc/antiscan/save"
SAVE_IPSETS=1
SAVE_ON_EXIT=1
USE_CUSTOM_EXCLUDE_LIST=0
CUSTOM_LISTS_BLOCK_MODE=0
GEOBLOCK_MODE=whitelist
GEOBLOCK_COUNTRIES="RU"
GEO_EXCLUDE_COUNTRIES=""

READ_NDM_LOCKOUT_IPSETS=0
LOCKOUT_IPSET_BANTIME=864000

с таким конфигом, при попытке подключиться первый раз, после старта антискан, из приложения  immich андроид к внутреннему серверу immich, на который происходит портфорвардинг 443->443.  мой айпишник мобилы сразу попал в блок

~ # antiscan status
Версия Antiscan:        1.10
Статус:                 работает
Заблокировано адресов:  1
Заблокировано подсетей: 0
Заблокировано ловушкой: 1
Чтение списков NDMS:    отключено
Пользовательские списки не активны
Режим геоблокировки:    белый список
Страны геоблокировки:   RU
Исключения по странам:  отключены

 

очистил списки айпи, отключил HONEYPOT, все равно блочит, как понять почему и что можно изменить в конфиге?

Изменено 27 января пользователем homes
11

[dimon27254]

5 минут назад, homes сказал:

с таким конфигом, при попытке подключиться первый раз, после старта антискан, из приложения  immich андроид к внутреннему серверу immich, на который происходит портфорвардинг 443->443.  мой айпишник мобилы сразу попал в блок

Возможно, ваше приложение создает большое количество соединений, которые и вызывают блокировку. Пробуйте увеличивать следующие значения:

5 минут назад, homes сказал:

RECENT_CONNECTIONS_TIME=30
RECENT_CONNECTIONS_HITCOUNT=15
RECENT_CONNECTIONS_LIMIT=20

Описание каждого параметра приведено на первой странице темы.

[homes]

при остановленной службе правила блокировки, я так понимаю продолжают действовать?

[dimon27254]

5 минут назад, homes сказал:

при остановленной службе правила блокировки, я так понимаю продолжают действовать?

Все правила блокировки удаляются и перестают действовать, как только вызывается команда antiscan stop.

[FLK]

5 минут назад, dimon27254 сказал:

Все правила блокировки удаляются и перестают действовать, как только вызывается команда antiscan stop.

Это в принципе логично) Было бы странно, если бы это было не так)))

[homes]

понял, разобрался. гуевые правила фаервола работали

Изменено 28 января пользователем homes

[Fat32alist]

ipset v7.21: Missing second mandatory argument to command add
Try `ipset help' for more information.
Не удалось импортировать список ascn_custom_exclude!
Antiscan запущен

Появилась ошибка связанная с ipset, по логам началось с 26 января

2026-01-13T20:00:31+03:00 Keenetic Antiscan: Antiscan запущен
2026-01-13T20:03:18+03:00 Keenetic Antiscan: Antiscan уже работает
2026-01-19T04:01:49+03:00 Keenetic Antiscan: xt_recent.ko загружен
2026-01-19T04:01:50+03:00 Keenetic Antiscan: Antiscan запущен
2026-01-26T04:01:52+03:00 Keenetic Antiscan: xt_recent.ko загружен
2026-01-26T04:01:52+03:00 Keenetic Antiscan: Не удалось импортировать список ascn_custom_exclude!
2026-01-26T04:01:53+03:00 Keenetic Antiscan: Antiscan запущен
2026-02-02T04:01:40+03:00 Keenetic Antiscan: xt_recent.ko загружен
2026-02-02T04:01:40+03:00 Keenetic Antiscan: Не удалось импортировать список ascn_custom_exclude!
2026-02-02T04:01:41+03:00 Keenetic Antiscan: Antiscan запущен
2026-02-03T09:38:40+03:00 Keenetic Antiscan: Antiscan остановлен
2026-02-03T09:39:30+03:00 Keenetic Antiscan: Antiscan не запущен
2026-02-04T11:40:03+03:00 Keenetic Antiscan: Не удалось импортировать список ascn_custom_exclude!
2026-02-04T11:40:04+03:00 Keenetic Antiscan: Antiscan запущен
2026-02-04T11:40:54+03:00 Keenetic Antiscan: Antiscan остановлен
2026-02-04T11:40:54+03:00 Keenetic Antiscan: Не удалось импортировать список ascn_custom_exclude!
2026-02-04T11:40:55+03:00 Keenetic Antiscan: Antiscan запущен
2026-02-04T12:33:39+03:00 Keenetic Antiscan: Antiscan остановлен
2026-02-04T12:33:39+03:00 Keenetic Antiscan: Не удалось импортировать список ascn_custom_exclude!
2026-02-04T12:33:40+03:00 Keenetic Antiscan: Antiscan запущен
2026-02-04T12:36:44+03:00 Keenetic Antiscan: xt_recent.ko загружен
2026-02-04T12:36:44+03:00 Keenetic Antiscan: Не удалось импортировать список ascn_custom_exclude!
2026-02-04T12:36:45+03:00 Keenetic Antiscan: Antiscan запущен
2026-02-04T13:31:40+03:00 Keenetic Antiscan: Antiscan остановлен

Прошивка 5.0.4

Так же обнаружил такую ошибку:

 # antiscan read_ndm_ipsets
/opt/bin/antiscan: line 487: : bad variable name

Изменено 4 февраля пользователем Fat32alist
1

[dimon27254]

36 минут назад, Fat32alist сказал:

Появилась ошибка связанная с ipset, по логам началось с 26 января

У вас явная проблема или в конфиге, или в файле ascn_custom_exclude.txt.

Прикрепите их, пожалуйста.

[FLK]

41 минуту назад, Fat32alist сказал:

ipset v7.21: Missing second mandatory argument to command add
Try `ipset help' for more information.
Не удалось импортировать список ascn_custom_exclude!
Antiscan запущен

Появилась ошибка связанная с ipset, по логам началось с 26 января

2026-01-13T20:00:31+03:00 Keenetic Antiscan: Antiscan запущен
2026-01-13T20:03:18+03:00 Keenetic Antiscan: Antiscan уже работает
2026-01-19T04:01:49+03:00 Keenetic Antiscan: xt_recent.ko загружен
2026-01-19T04:01:50+03:00 Keenetic Antiscan: Antiscan запущен
2026-01-26T04:01:52+03:00 Keenetic Antiscan: xt_recent.ko загружен
2026-01-26T04:01:52+03:00 Keenetic Antiscan: Не удалось импортировать список ascn_custom_exclude!
2026-01-26T04:01:53+03:00 Keenetic Antiscan: Antiscan запущен
2026-02-02T04:01:40+03:00 Keenetic Antiscan: xt_recent.ko загружен
2026-02-02T04:01:40+03:00 Keenetic Antiscan: Не удалось импортировать список ascn_custom_exclude!
2026-02-02T04:01:41+03:00 Keenetic Antiscan: Antiscan запущен
2026-02-03T09:38:40+03:00 Keenetic Antiscan: Antiscan остановлен
2026-02-03T09:39:30+03:00 Keenetic Antiscan: Antiscan не запущен
2026-02-04T11:40:03+03:00 Keenetic Antiscan: Не удалось импортировать список ascn_custom_exclude!
2026-02-04T11:40:04+03:00 Keenetic Antiscan: Antiscan запущен
2026-02-04T11:40:54+03:00 Keenetic Antiscan: Antiscan остановлен
2026-02-04T11:40:54+03:00 Keenetic Antiscan: Не удалось импортировать список ascn_custom_exclude!
2026-02-04T11:40:55+03:00 Keenetic Antiscan: Antiscan запущен
2026-02-04T12:33:39+03:00 Keenetic Antiscan: Antiscan остановлен
2026-02-04T12:33:39+03:00 Keenetic Antiscan: Не удалось импортировать список ascn_custom_exclude!
2026-02-04T12:33:40+03:00 Keenetic Antiscan: Antiscan запущен
2026-02-04T12:36:44+03:00 Keenetic Antiscan: xt_recent.ko загружен
2026-02-04T12:36:44+03:00 Keenetic Antiscan: Не удалось импортировать список ascn_custom_exclude!
2026-02-04T12:36:45+03:00 Keenetic Antiscan: Antiscan запущен
2026-02-04T13:31:40+03:00 Keenetic Antiscan: Antiscan остановлен

Прошивка 5.0.4

Так же обнаружил такую ошибку:

 # antiscan read_ndm_ipsets
/opt/bin/antiscan: line 487: : bad variable name

Желательно еще бы и версию пакета указывать)

[Fat32alist]

20 минут назад, dimon27254 сказал:

У вас явная проблема или в конфиге, или в файле ascn_custom_exclude.txt.

Прикрепите их, пожалуйста.

127.0.0.1
128.0.129.134
10.10.0.0/23
89.208.128.0/18
129.212.176.0/24

ISP_INTERFACES="eth3.3"
PORTS="22,80,443,55123,5022,21,90,8920"
PORTS_FORWARDED="22,80,443,10000,5022,21,90,8920"

ENABLE_HONEYPOT=0
HONEYPOT_PORTS=""
HONEYPOT_BANTIME=86400

ENABLE_IPS_BAN=1
RULES_MASK="255.255.255.255"
RECENT_CONNECTIONS_TIME=5
RECENT_CONNECTIONS_HITCOUNT=30
RECENT_CONNECTIONS_LIMIT=200
RECENT_CONNECTIONS_BANTIME=86400

DIFFERENT_IP_CANDIDATES_STORAGETIME=86400
DIFFERENT_IP_THRESHOLD=5
SUBNETS_BANTIME=86400

IPSETS_DIRECTORY="/opt/ipblocks"
SAVE_IPSETS=1
SAVE_ON_EXIT=1
USE_CUSTOM_EXCLUDE_LIST=0
CUSTOM_LISTS_BLOCK_MODE=0
GEOBLOCK_MODE=0
GEOBLOCK_COUNTRIES=""
GEO_EXCLUDE_COUNTRIES=""

READ_NDM_LOCKOUT_IPSETS=1
LOCKOUT_IPSET_BANTIME=86400

USE_CUSTOM_EXCLUDE_LIST=0 - временно убрал 1, тк ошибка
версия пакета 1.10

Изменено 4 февраля пользователем Fat32alist
поправил ошибки копипаста

[dimon27254]

7 минут назад, Fat32alist сказал:

SE_CUSTOM_EXCLUDE_LIST=0 - временно убрал 1, тк ошибка
версия пакета 1.10

Прикрепите, пожалуйста, в виде исходных файлов, а не текста.

[Fat32alist]

3 часа назад, dimon27254 сказал:

Прикрепите, пожалуйста, в виде исходных файлов, а не текста.

 

ascn_custom_exclude.txt ascn.conf

[dimon27254]

5 минут назад, Fat32alist сказал:

ascn_custom_exclude.txt 71 B · 1 загрузка ascn.conf 663 B · 0 загрузок

Спасибо!

В вашем файле ascn_custom_exclude имеется несколько пустых строк (6 и 7):

Они некорректно обрабатываются Антисканом, что и приводит к ошибке:

В будущих версиях я это поправлю, а сейчас могу вам предложить убрать данные строки и повторить попытку запуска:

Никаких ошибок появиться не должно.

[Fat32alist]

1 минуту назад, dimon27254 сказал:

Спасибо!

В вашем файле ascn_custom_exclude имеется несколько пустых строк (6 и 7):

Они некорректно обрабатываются Антисканом, что и приводит к ошибке:

В будущих версиях я это поправлю, а сейчас могу вам предложить убрать данные строки и повторить попытку запуска:

Никаких ошибок появиться не должно.

Благодарю! Всё заработало. Такая мелочь.. А сам не смекнул. Как ; в конце строки 😄