Antiscan - выявление и блокировка подозрительных IP

[lesha_leshin]

Коллеги, приветствую.  Утилита стоит  и работает, но в логах периодически замечаю строку:

Opkg::Manager: /opt/etc/ndm/netfilter.d/099-ascn.sh: exit code 2.

Не направите, как исправить?

Модель nc-1812 на прошивке 5.0.10.

[dimon27254]

В 27.04.2026 в 15:53, lesha_leshin сказал:

Коллеги, приветствую.  Утилита стоит  и работает, но в логах периодически замечаю строку:

Opkg::Manager: /opt/etc/ndm/netfilter.d/099-ascn.sh: exit code 2.

Не направите, как исправить?

Модель nc-1812 на прошивке 5.0.10.

Добрый день! Какая у вас установлена версия Antiscan?

[lesha_leshin]

31 минуту назад, dimon27254 сказал:

Добрый день! Какая у вас установлена версия Antiscan?

Версия Antiscan: 1.10
Статус:   работает
Заблокировано адресов: 275
Заблокировано подсетей: 100
Заблокировано ловушкой: 0
Чтение списков NDMS: отключено
Пользовательские списки не активны
Режим геоблокировки: отключена
Исключения по странам: RU

[dimon27254]

4 минуты назад, lesha_leshin сказал:

Версия Antiscan: 1.10 Статус: работает Заблокировано адресов: 275 Заблокировано подсетей: 100 Заблокировано ловушкой: 0 Чтение списков NDMS: отключено Пользовательские списки не активны Режим геоблокировки: отключена Исключения по странам: RU

Вижу, что версия у вас стоит самая последняя. Можете, пожалуйста, прислать в личные сообщения лог с Кинетика, где имеются данные сообщения?

[lesha_leshin]

6 минут назад, dimon27254 сказал:

Можете, пожалуйста, прислать в личные сообщения лог с Кинетика, где имеются данные сообщения?

Выполнено

[Darkus]

Добрый день.

Вопрос 1: А есть возможность для "PORTS" и "PORTS_FORWARDED", реализовать такую возможность: чтобы каждому вписанному порту можно было задать индивидуальные настройки параметров

RECENT_CONNECTIONS_TIME=
RECENT_CONNECTIONS_HITCOUNT=
RECENT_CONNECTIONS_LIMIT=
RECENT_CONNECTIONS_BANTIME=

У меня к примеру много сервисов, веб сервер, почтовик и игровые сервера. Допустим человеку чтобы подключиться к игровому серверу нужно отправить 2-3 пакета (явно больше одного), а на веб сервер достаточно и одного пакета. 

Просто например если у игрока будут проблемы с интернетом и его будет отключать от сервера, он по-любому будет пытаться перезайти и не один раз. А при настройке "RECENT_CONNECTIONS_HITCOUNT=10" его в бан кинет уже при 2-3 подключении. 

Вопрос 2: возможно ли настроить для honeypot автоматический скан закрытых портов и автодобавление диапазонов? Допустим открыты порты по всей длине 80 - 65535, в абсолютно разных участках, и вручную добавлять по участку (когда у тебя может выйти 100 диапазонов таким образом), неудобно. (Ну и очень жаль что ограничение имеется в 15 портов/диапазонов,хотя бы для honeypot нельзя как-то это разделить, чтобы можно было больше вписать? Как с PORTS и PORTS_FORWARDED) 

Изменено Среда в 04:47 пользователем Darkus

[dimon27254]

17 минут назад, Darkus сказал:

Добрый день.

Вопрос 1: А есть возможность для "PORTS" и "PORTS_FORWARDED", реализовать такую возможность: чтобы каждому вписанному порту можно было задать индивидуальные настройки параметров

RECENT_CONNECTIONS_TIME=
RECENT_CONNECTIONS_HITCOUNT=
RECENT_CONNECTIONS_LIMIT=
RECENT_CONNECTIONS_BANTIME=

У меня к примеру много сервисов, веб сервер, почтовик и игровые сервера. Допустим человеку чтобы подключиться к игровому серверу нужно отправить 2-3 пакета (явно больше одного), а на веб сервер достаточно и одного пакета. 

Просто например если у игрока будут проблемы с интернетом и его будет отключать от сервера, он по-любому будет пытаться перезайти и не один раз. А при настройке "RECENT_CONNECTIONS_HITCOUNT=10" его в бан кинет уже при 2-3 подключении. 

Вопрос 2: возможно ли настроить для honeypot автоматический скан закрытых портов и автодобавление диапазонов? Допустим открыты порты по всей длине 80 - 65535, в абсолютно разных участках, и вручную добавлять по участку (когда у тебя может выйти 100 диапазонов таким образом), неудобно. (Ну и очень жаль что ограничение имеется в 15 портов/диапазонов,хотя бы для honeypot нельзя как-то это разделить, чтобы можно было больше вписать? Как с PORTS и PORTS_FORWARDED) 

Добрый день!

Вынужден огорчить, но это реализовано не будет.

Рекомендую подобрать такие параметры, чтобы они соответствовали сразу всем вашим сервисам.

По игровым сервисам - если они работают по протоколу UDP, то Антискан их никаким образом не защитит. Протокол UDP не поддерживается, только TCP.

[Darkus]

21 минуту назад, dimon27254 сказал:

Добрый день!

Вынужден огорчить, но это реализовано не будет.

Рекомендую подобрать такие параметры, чтобы они соответствовали сразу всем вашим сервисам.

По игровым сервисам - если они работают по протоколу UDP, то Антискан их никаким образом не защитит. Протокол UDP не поддерживается, только TCP.

Очень жаль, если бы каждому порту можно было выставить индивидуальные настройки, было бы очень удобно. К сожалению когда куча сервисов, невозможно подобрать единственно правильную конфигурацию, чтобы подходила ко всем. Можете подсказать, это труднореализуемо? 

Про игровые сервера могу сказать что далеко не все работают на udp или только на udp

Изменено Среда в 05:28 пользователем Darkus

[dimon27254]

13 минут назад, Darkus сказал:

Очень жаль, если бы каждому порту можно было выставить индивидуальные настройки, было бы очень удобно. К сожалению когда куча сервисов, невозможно подобрать единственно правильную конфигурацию, чтобы подходила ко всем. Можете подсказать, это труднореализуемо? 

Прежде всего, индивидуальная настройка каждого порта будет невероятно неудобной в конфиге. 

15+15 портов, и по 4 варианта параметров для каждого - получаем минимум 120 строк.

Во вторых, каждая индивидуальная настройка будет за собой тянуть отдельное правило iptables.

В процессе смены состояния интернет-подключений, обновления IP адресов или же по каким-то внутренним таймерам, NDMS эти правила будет затирать, а Антискан пытаться сразу же восстановить. Если правил 15-20, как сейчас, это работает довольно неплохо.

Однако, нужно учесть, что кроме Антискана у вас в Entware могут быть установлены и другие сервисы, которые тоже будут восстанавливать свои правила после действий NDMS. Когда появится ещё 30 правил ради индивидуальной настройки портов - никакой гарантии нормальной работы я дать не могу.

Поэтому реализовано не будет.

[FLK]

4 часа назад, Darkus сказал:

К сожалению когда куча сервисов, невозможно подобрать единственно правильную конфигурацию, чтобы подходила ко всем.

1) Вполне возможно, надо подбирать значения просто. Возможно это займет какое-то количество времени

2) Спасибо за вопросы и идеи, но хочу напомнить -  данный продукт делался в первую очередь для себя. Остальные используют или не используют как есть) Всем угодить и осуществить все хотелки к сожалению не получится в силу технических ограничений или ограничений свободного времени автора.

 

Изменено Среда в 09:57 пользователем FLK

[Darkus]

Помогите разобраться. Версия 1.10, налетело много пакетов от разных ip адресов, долбились в порты которые у меня в конфиге не были указаны. Я вручную добавил подсети в файл ipset_ascn_subnets, сохранил и перезапустил антискан. Открытые соединения с этих ip не заблокировались, так и висят. Как при блокировке ip адресов/подсетей вручную их можно закрыть? После того как этот файл не помог, добавил подсети в ascn_custom_blacklist, тоже не помогло, как и указание портов в honeypot

[dimon27254]

2 минуты назад, Darkus сказал:

Помогите разобраться. Версия 1.10, налетело много пакетов от разных ip адресов, долбились в порты которые у меня в конфиге не были указаны. Я вручную добавил подсети в файл ipset_ascn_subnets, сохранил и перезапустил антискан. Открытые соединения с этих ip не заблокировались, так и висят. Как при блокировке ip адресов/подсетей вручную их можно закрыть? После того как этот файл не помог, добавил подсети в ascn_custom_blacklist, тоже не помогло, как и указание портов в honeypot

Блокировка будет только для портов, которые указаны в PORTS и PORTS_FORWARDED.

На все остальные порты соединения продолжат проходить в обычном режиме. Покажите ваш конфиг.

[Darkus]

2 минуты назад, dimon27254 сказал:

Блокировка будет только для портов, которые указаны в PORTS и PORTS_FORWARDED.

На все остальные порты соединения продолжат проходить в обычном режиме. Покажите ваш конфиг.

ISP_INTERFACES="eth3"

PORTS=""

PORTS_FORWARDED="22,25,53,8080,25565,35005"

 

ENABLE_HONEYPOT=1

HONEYPOT_PORTS="21,23,80,88,443,445,3306"

HONEYPOT_BANTIME=0

 

ENABLE_IPS_BAN=1

RULES_MASK="255.255.255.255"

RECENT_CONNECTIONS_TIME=120

RECENT_CONNECTIONS_HITCOUNT=6

RECENT_CONNECTIONS_LIMIT=6

RECENT_CONNECTIONS_BANTIME=0

 

DIFFERENT_IP_CANDIDATES_STORAGETIME=864000

DIFFERENT_IP_THRESHOLD=3

SUBNETS_BANTIME=0

 

IPSETS_DIRECTORY="/opt/antiscan"

SAVE_IPSETS=1

SAVE_ON_EXIT=1

USE_CUSTOM_EXCLUDE_LIST=1

CUSTOM_LISTS_BLOCK_MODE=0

GEOBLOCK_MODE=0

GEOBLOCK_COUNTRIES=""

GEO_EXCLUDE_COUNTRIES=""

 

READ_NDM_LOCKOUT_IPSETS=1

LOCKOUT_IPSET_BANTIME=864000

 

Изменено Среда в 13:29 пользователем Darkus

[dimon27254]

1 минуту назад, Darkus сказал:

ISP_INTERFACES="eth3"

PORTS=""

PORTS_FORWARDED="22,25,53,8080,25565,35005"

 

ENABLE_HONEYPOT=1

HONEYPOT_PORTS="21,23,80,88,443,445,3306"

HONEYPOT_BANTIME=0

 

ENABLE_IPS_BAN=1

RULES_MASK="255.255.255.255"

RECENT_CONNECTIONS_TIME=120

RECENT_CONNECTIONS_HITCOUNT=6

RECENT_CONNECTIONS_LIMIT=6

RECENT_CONNECTIONS_BANTIME=0

 

DIFFERENT_IP_CANDIDATES_STORAGETIME=864000

DIFFERENT_IP_THRESHOLD=3

SUBNETS_BANTIME=0

 

IPSETS_DIRECTORY="/opt/antiscan"

SAVE_IPSETS=1

SAVE_ON_EXIT=1

USE_CUSTOM_EXCLUDE_LIST=1

CUSTOM_LISTS_BLOCK_MODE=0

GEOBLOCK_MODE=0

GEOBLOCK_COUNTRIES=""

GEO_EXCLUDE_COUNTRIES=""

 

READ_NDM_LOCKOUT_IPSETS=1

LOCKOUT_IPSET_BANTIME=864000

И теперь напишите список портов, которые используются вашими сервисами. И используются ли для них правила переадресации портов.

[Darkus]

1 минуту назад, dimon27254 сказал:

И теперь напишите список портов, которые используются вашими сервисами. И используются ли для них правила переадресации портов.

Напишу только те что переадресуются. Веб интерфейс кинетика у меня в интернет не смотрит, только туннель через vpn) 

Порты: 25565, 35005, 8080, 26900, 7777, 2022, 29575, 25, 587, 993

Кстати трафик пропал, или помог в конце концов honeypot и снижение hitcount и limit до 6,либо просто устали безрезультатно траыик нагонять

[dimon27254]

2 минуты назад, Darkus сказал:

Напишу только те что переадресуются. Веб интерфейс кинетика у меня в интернет не смотрит, только туннель через vpn) 

Порты: 25565, 35005, 8080, 26900, 7777, 2022, 29575, 25, 587, 993

Покажите, пожалуйста, правила переадресации из веб-интерфейса скриншотом.

[Darkus]

13 минут назад, dimon27254 сказал:

Покажите, пожалуйста, правила переадресации из веб-интерфейса скриншотом.

Так подойдет? Или прям полностью надо? Правила не прям все включены, например 80,443 и тд. порты выключены

Спойлер

 

Изменено Среда в 13:56 пользователем Darkus

[dimon27254]

В 27.04.2026 в 15:53, lesha_leshin сказал:

Коллеги, приветствую.  Утилита стоит  и работает, но в логах периодически замечаю строку:

Opkg::Manager: /opt/etc/ndm/netfilter.d/099-ascn.sh: exit code 2.

Не направите, как исправить?

Модель nc-1812 на прошивке 5.0.10.

На основе полученных от @lesha_leshin диагностических данных было определено, что проблема оказалась во включенном honeypot (ENABLE_HONEYPOT=1) и неуказанных для него портах (HONEYPOT_PORTS="").

Алгоритм проверки списка портов будет улучшен в следующих релизах.

[dimon27254]

14 часов назад, Darkus сказал:

Помогите разобраться. Версия 1.10, налетело много пакетов от разных ip адресов, долбились в порты которые у меня в конфиге не были указаны. Я вручную добавил подсети в файл ipset_ascn_subnets, сохранил и перезапустил антискан. Открытые соединения с этих ip не заблокировались, так и висят. Как при блокировке ip адресов/подсетей вручную их можно закрыть? После того как этот файл не помог, добавил подсети в ascn_custom_blacklist, тоже не помогло, как и указание портов в honeypot

Решили проблему с @Darkus. 

Имелись небольшие неточности в списке портов, а также создан файл пользовательского черного списка, но его использование не было включено в конфиге (CUSTOM_LISTS_BLOCK_MODE=0).