RootForum Community

Resources for System-Administrators
https://www.rootforum.org/forum/

Hab mal eine Frage, wegen Portsentry!

https://www.rootforum.org/forum/viewtopic.php?t=6373

Page 1 of 1

Hab mal eine Frage, wegen Portsentry!

Posted: 2003-01-16 17:46
by footh
Hallo,

1. Ich habe Portsentry mal nach der Faq installiert und es funzt prächtig.
Ich möchte aber gern mal von euch wissen, wie sicher ihr von der effizienz von portsentry überzeugt seit. Ist man damit schon mal auf der sicheren Seite?



2. Ich habe hier mal einen Auszug aus einer message, nach dem Start von Portsentry. Nach der config her meldet sich das Script so:

Code: Select all

Advanced Stealth scan detection mode activated. Ignored UDP port: 123 
adminalert: Advanced Stealth scan detection mode activated. Ignored UDP port: 520 
adminalert: Advanced Stealth scan detection mode activated. Ignored UDP port: 138 
adminalert: Advanced Stealth scan detection mode activated. Ignored UDP port: 137 
adminalert: Advanced Stealth scan detection mode activated. Ignored UDP port: 67 
adminalert: PortSentry is now active and listening. 
adminalert: Advanced mode will manually exclude port: 113 
adminalert: Advanced mode will manually exclude port: 139 
adminalert: Advanced Stealth scan detection mode activated. Ignored TCP port: 21 
adminalert: Advanced Stealth scan detection mode activated. Ignored TCP port: 22 
adminalert: Advanced Stealth scan detection mode activated. Ignored TCP port: 80 
adminalert: Advanced Stealth scan detection mode activated. Ignored TCP port: 110 
adminalert: Advanced Stealth scan detection mode activated. Ignored TCP port: 443 
adminalert: Advanced Stealth scan detection mode activated. Ignored TCP port: 113 
adminalert: Advanced Stealth scan detection mode activated. Ignored TCP port: 139
Mich interessieren hier mehr die Meldungen, welche Ports ignoriert werden. Welche Ports aus der Meldung oben kann ich auf dem RootL von 1&1 getrost blocken, also so einstellen, daß sie nicht ignoriert werden. Ausser die natürlich, die für den Internetverkehr FTP-HTTP(s)-SSH-POP benötigten Ports. Wäre nett, wenn mir da einer einen Tipp geben könnte.

MFG
footh

Re: Hab mal eine Frage, wegen Portsentry!

Posted: 2003-01-17 01:37
by footh
:oops: Mir fällt gerade mal auf, daß nach der Installation von portsentry der ganze Malverkehr auf dem Server platt ist. Ich denke mal weil der Port 25 nicht ignoriert wird, der Port 110 doch.

Ich kenne mich noch nicht so mit iptables aus, da wohl portsentry etwas dicht gemacht hat, frage ich euch noch einmal, welchen Befehl/Regel ich für iptables eingeben muß, damit auch der Port 25 ignoriert wird.
Siehe Auszug aus der Startmessage. :wink:


...vielen Dank im Voraus!!!

Re: Hab mal eine Frage, wegen Portsentry!

Posted: 2003-01-17 08:33
by ice
Hm, ich denke das das nicht an Portsentry liegt. Ich ignoriere garkeinen Port meines Servers. Ist ja auch Blödsinn, PE soll ja die entscheidenden Ports schützen, was nützt es wenn die nicht überwachtwerden. PE block ja schliesslich nur Scans und keinen normalen Mailverkehr.

Re: Hab mal eine Frage, wegen Portsentry!

Posted: 2003-01-17 09:41
by footh
Hallo,

dieses Problem besteht aber seitdem ich portsentry installiert habe. Und in den Logs von portsentry steht ja auch, daß TCP auf Port 25 immer geblockt wird/wurde. Da ja, so wie ich verstanden habe, portsentry mit iptables fest zusammen arbeitet kann es nur an einer Regel in IP-Tables liegen.

Ich weiß nur nicht wie ich das über die Konsole einstellen muß. Auf netfilter.org war ich schon, aber entweder bin ich blind, oder ich schnall das nicht.

Ich bin für jeden Tipp dankbar :wink:
All times are UTC+01:00
Page 1 of 1