Antiscan - выявление и блокировка подозрительных IP

[FLK]

10 часов назад, Alex Alexan сказал:

 

 Эм? GIGA II летает сейчас

Летает без антискана. Хорошего полёта)

Под роутеры из мезозоя никто подстраиваться не будет.

Изменено 23 февраля пользователем FLK

[Alex Alexan]

5 часов назад, FLK сказал:

Под роутеры из мезозоя никто подстраиваться не будет.

Сам разработчик - прекрасно понимаю нежелание "учитывать десятки вариантов версий ОС". Часто в устаревших ОС банально нет необходимых функций и чтобы их реализовать, нужно самому "изобретать велосипед".
Но учитывая 

В 02.10.2024 в 15:24, Le ecureuil сказал:

В 2.16 они есть, точнее xt_multiport там уже вкомпилирован в ядро, а NFQUEUE есть в виде модуля.

Может это плевое дело - подправить 1-2 строки. Готов предоставить данные с роутера при необходимости.

[dimon27254]

23 часа назад, Alex Alexan сказал:

Может это плевое дело - подправить 1-2 строки. Готов предоставить данные с роутера при необходимости.

К сожалению, нет. Одним обходом загрузки xt_multiport не обойтись. Есть проблема куда глубже - в урезанных match, из-за которых часть правил защиты попросту не добавляются.

Поэтому, если хотите пользоваться Antiscan - пора сменить роутер. Под 2.16 и прочие прошивки со старыми ядрами я ничего править не буду.

В следующих версиях Antiscan установка на старые прошивки будет блокироваться.

В 23.02.2026 в 07:37, Alex Alexan сказал:

Эм? GIGA II летает сейчас - домашний интернет 600 Мбит/с тянет легко. Пусть роутер и старичок, но уделает многие актуальные модели.

По поводу того, что Giga II "уделает" современные модели (особенно на ARM) - я очень сильно сомневаюсь.

Изменено 24 февраля пользователем dimon27254

[FLK]

23 минуты назад, dimon27254 сказал:

По поводу того, что Giga II "уделает" современные модели (особенно на ARM) - я очень сильно сомневаюсь.

Спойлер

Я бы посмотрел на баттл Giga II vs. 1812 😃

Ну Giga II уже лет сколько? Больше 10 наверно... ну ничего вечного не бывает. То, что он работает, на нем горят лампады и он раздает wifi какой-никакой ни о чем не говорит) Не пытайтесь выжать соки из выжатого лимона)

Самый лучший тут совет - купить какой-то роутер из современной линейки на arm-процессоре (ну хотя бы 3811/3812) и наслаждаться работой антискана и не только)

Изменено 24 февраля пользователем FLK

[Alex Alexan]

В 24.02.2026 в 14:40, dimon27254 сказал:

По поводу того, что Giga II "уделает" современные модели (особенно на ARM) - я очень сильно сомневаюсь.

Все не уделает конечно, но современные (еще продающиеся) модели есть не только на ARM.
Вот пример:  скорость по WG туннелю 

Extra KN-1714 (2024 год): ~30 Мбит/с

GIGA II (2013 год): ~ 60 Мбит/с 
И таких не одна модель..... "Старичок" еще может посоревноваться. Wifi конечно только N, но в остальном (1 Гбит/с порты + 256 оперативы) он мощнее части продающихся роутеров.

В 24.02.2026 в 15:02, FLK сказал:

Ну Giga II уже лет сколько?

Дата выпуска 2013, я купил в 2015. Я не спорю, что модель старая и пора обновится. Не понимаю только - почему выпускают обновленные прошивки и оптимизируют ПО под новые модели, которые слабее старых (пример выше привел).

P.S. Взял KN-3812, успокойтесь 😁Осваиваю Antiscan.

Изменено 19 марта пользователем Alex Alexan

[FLK]

6 минут назад, Alex Alexan сказал:

P.S. Взял KN-3812, успокойтесь 😁Осваиваю Antiscan.

Верное решение, поздравляю с покупкой)

Будут вопросы - задавайте, поможем)

[de_MAX]

Из-за чего может не работать? Несколько суток - всё по нулям.

Спойлер

ISP_INTERFACES="eth3"
PORTS="22,80,443"
PORTS_FORWARDED="22,80,443"

ENABLE_HONEYPOT=1
HONEYPOT_PORTS="21,22,23,25,445,1433,3306,3389,5060,8080,3128,1080"
HONEYPOT_BANTIME=864000

ENABLE_IPS_BAN=1
RULES_MASK="255.255.255.255"
RECENT_CONNECTIONS_TIME=30
RECENT_CONNECTIONS_HITCOUNT=15
RECENT_CONNECTIONS_LIMIT=20
RECENT_CONNECTIONS_BANTIME=864000

DIFFERENT_IP_CANDIDATES_STORAGETIME=864000
DIFFERENT_IP_THRESHOLD=5
SUBNETS_BANTIME=864000

IPSETS_DIRECTORY="/tmp/mnt/Main/etc/antiscan/list"
SAVE_IPSETS=1
SAVE_ON_EXIT=1
USE_CUSTOM_EXCLUDE_LIST=0
CUSTOM_LISTS_BLOCK_MODE=0
GEOBLOCK_MODE=whitelist
GEOBLOCK_COUNTRIES="RU"
GEO_EXCLUDE_COUNTRIES=""

READ_NDM_LOCKOUT_IPSETS=0
LOCKOUT_IPSET_BANTIME=864000

Правила в iptables добовляются.

Работе могут мешать соседствующие тайцы и MagiTrickle?

[dimon27254]

37 минут назад, de_MAX сказал:

Из-за чего может не работать? Несколько суток - всё по нулям.

Геоблокировка тоже не работает?

Маловато вводных. Может быть, не выбран правильный интерфейс, или же у вас серый IP-адрес.

[de_MAX]

33 минуты назад, dimon27254 сказал:

Геоблокировка тоже не работает?

Похоже, что нет: через эстонский/немецкий warp спокойно сканирую 80й порт.

Интерфейс правильный (eth3), ip - белый, в KeenDNS - прямой доступ.

[dimon27254]

24 минуты назад, de_MAX сказал:

Интерфейс правильный (eth3), ip - белый, в KeenDNS - прямой доступ.

Как вы проверили, что у вас действительно eth3? Может быть, там будет eth2.2 или что-то другое.

[de_MAX]

28 минут назад, dimon27254 сказал:

Как вы проверили, что у вас действительно eth3?

ifconfig

Именно eth3.

[dimon27254]

Только что, de_MAX сказал:

ifconfig

Именно eth3.

Пришлите, пожалуйста, в личные сообщения self-test. Попробую посмотреть, в чем у вас может быть дело.

[MDP]

5 часов назад, dimon27254 сказал:

Пришлите, пожалуйста, в личные сообщения self-test. Попробую посмотреть, в чем у вас может быть дело.

Я подзабыл немного...адреса попавшие в геоблокировку ведь в статистике нигде на отображаются?

[dimon27254]

1 минуту назад, MDP сказал:

Я подзабыл немного...адреса попавшие в геоблокировку ведь в статистике нигде на отображаются?

Геоблокировка не накапливает адреса. Она использует загруженные списки и по ним ограничивает доступ.

Просмотр загруженных списков геоблокировки недоступен, так не имеет смысла - там может быть до 100 тысяч адресов, смотреть на которые в консоли или ещё где-либо точно не будет удобно.

[AlexZzz]

А можно добавить в список заблокированных IP/подсетей страну? 

Хотя бы вот так:

2.57.122.0/24 timeout 18965 NL
168.90.83.0/24 timeout 60186 BR
200.6.47.0/24 timeout 30426 BR

 

[FLK]

1 час назад, AlexZzz сказал:

А можно добавить в список заблокированных IP/подсетей страну? 

Хотя бы вот так:

2.57.122.0/24 timeout 18965 NL
168.90.83.0/24 timeout 60186 BR
200.6.47.0/24 timeout 30426 BR

 

Не очень понял ваш вопрос, если честно) для чего вам?

Чтоб заблокировать определённую подсеть в определённой стране?

Изменено 9 апреля пользователем FLK

[dimon27254]

6 часов назад, AlexZzz сказал:

А можно добавить в список заблокированных IP/подсетей страну? 

Хотя бы вот так:

2.57.122.0/24 timeout 18965 NL
168.90.83.0/24 timeout 60186 BR
200.6.47.0/24 timeout 30426 BR

Не совсем понятно, с какой целью вам это необходимо.

Если вам требуется заблокировать определенные страны - используйте геоблокировку в режиме черного списка.

Если вы желаете увидеть страну, откуда было подключение - это со стороны Антискана реализовано не будет. Сопоставление списков адресов/подсетей с базой GeoIP будет очень медленным и ресурсозатратным (особенно, на слабеньких mips/mipsel, при сотнях или тысячах записей). В будущем, возможно, к данной идее я когда-нибудь вернусь.

[koseor]

После установки при запуске пишет следующее:

antiscan start
Обновляем crontab
Не удалось найти модуль ядра xt_recent.ko
/opt/etc/opkg # antiscan status
Версия Antiscan:        1.10
Статус:                 не запущен

 

UPD: проблема решена. Не досмотрел в инструкции пункт - Модули ядра для подсистемы Netfilter

Изменено 13 апреля пользователем koseor

[Vozmisvet]

всем добрый, не качается не устанавливается, подскажите что сделать?

[dimon27254]

11 часов назад, Vozmisvet сказал:

всем добрый, не качается не устанавливается, подскажите что сделать?

Добрый день!

Без сообщений, которые показываются в процессе установки, к сожалению, подсказать что-либо нет возможности.

[Vozmisvet]

7 часов назад, dimon27254 сказал:

Добрый день!

Без сообщений, которые показываются в процессе установки, к сожалению, подсказать что-либо нет возможности.

 

[dimon27254]

@Vozmisvet

Какой командой вы устанавливали репозиторий Antiscan?

У вас наблюдаются проблемы с wget - установлена версия без поддержки SSL.

[hoaxisr]

12 часов назад, Vozmisvet сказал:

 

Да и репо hoaxisr.github.io не существует, что отношения к antiscan не имеет никакого, но мешает работе opkg.

Вам нужно в /opt/etc/opkg/

Найти файлы .conf и убрать или поправить репозитории пакета на http://repo.hoaxisr.ru

[Nikei777]

В 14.05.2025 в 12:05, dimon27254 сказал:

При запуске скрипта создаются 3 ipset: ascn_ips, ascn_candidates и ascn_subnets.
ascn_ips - для блокировки ip, создавших множество соединений.
ascn_candidates - накапливает все ip, открывавшие соединения к указанным в ascn.conf портам.
ascn_subnets - для блокировки подсетей, хосты которых открывали единичные соединения с множества IP.

Вообще не пойму где они создаются,установил антискан но файлов ни где не нашел

[dimon27254]

7 минут назад, Nikei777 сказал:

Вообще не пойму где они создаются,установил антискан но файлов ни где не нашел

Эти списки не создаются в виде файлов, а хранятся в оперативной памяти роутера. По мере работы в них накапливаются адреса и подсети.

Если вы настроите сохранение данных списков, то тогда при выключении Антискана они будут из оперативной памяти выгружаться в указанную вами папку. В этом случае при повторном запуске Антискана сохраненные списки автоматически загрузятся в оперативную память из файлов.

Изменено 19 апреля пользователем dimon27254

[AlexZzz]

В 09.04.2026 в 09:56, FLK сказал:

Чтоб заблокировать определённую подсеть в определённой стране?

Чтобы принять решение - "может проще заблокировать страну целиком?"
Пока еще не готов делать блок всех кроме RU.

[FLK]

4 минуты назад, AlexZzz сказал:

Чтобы принять решение - "может проще заблокировать страну целиком?"
Пока еще не готов делать блок всех кроме RU.

Если вы опишите что именно вы хотите получить от антискана, мы подскажем как это сделать

[AlexZzz]

30 минут назад, FLK сказал:

Если вы опишите что именно вы хотите получить от антискана, мы подскажем как это сделать

Я выше привел пример. Но если это сложно реализовать - то проще руками список подсетей прогонять через xseo.in (к примеру). Месяц назад ко  мне усиленно долбились из Бразилии. 
Сейчас - постоянно из Турции. 
В идеале  - типа к статистике добавить что-то типа

заблокированно подсетей:

TR - 60%

BR - 20%

остальные - 20%

 

Изменено Вторник в 09:46 пользователем AlexZzz

[dimon27254]

8 минут назад, AlexZzz сказал:

Я выше привел пример. Но если это сложно реализовать - то проще руками список подсетей прогонять через xseo.in (к примеру). Месяц назад ко  мне усиленно долбились из Бразилии. 
Сейчас - постоянно из Турции. 
В идеале  - типа к статистике добавить что-то типа

Теперь я понял, что вы хотите видеть, какой стране принадлежат определенные подсети.

Выше писал, что пока это не ожидается к реализации.

[FLK]

9 часов назад, AlexZzz сказал:

Я выше привел пример. Но если это сложно реализовать - то проще руками список подсетей прогонять через xseo.in (к примеру). Месяц назад ко  мне усиленно долбились из Бразилии. 
Сейчас - постоянно из Турции. 
В идеале  - типа к статистике добавить что-то типа

заблокированно подсетей:

TR - 60%

BR - 20%

остальные - 20%

 

Статистики пока вообще никакой нет) возможно она появится, но не думаю, что это будет прям в ближайшее время... Следите за обновлениями)