{"id":1864,"date":"2020-10-31T11:23:39","date_gmt":"2020-10-31T10:23:39","guid":{"rendered":"http:\/\/clark.tipistrani.it\/?p=1864"},"modified":"2021-03-03T08:27:54","modified_gmt":"2021-03-03T07:27:54","slug":"portsentry-su-devuan-beofulf","status":"publish","type":"post","link":"http:\/\/clark.tipistrani.it\/?p=1864","title":{"rendered":"Portsentry su Devuan Beofulf"},"content":{"rendered":"<p>Gi\u00e0 in passato avevo parlato <a href=\"http:\/\/clark.tipistrani.it\/?p=1322\">qui<\/a> di portsentry, e nel corso degli anni mi sono reso conto di quanto sia utile e quindi non ne voglio pi\u00f9 fare a meno, la questione \u00e8 che per\u00f2 con nftables la cosa cambia un po quindi mi son dovuto adeguare e cercare una soluzione dato che sicuramente qualcuno pi\u00f9 bravo di me si \u00e8 trovato a dover risolvere la faccenda.<br \/>\nInfatti ho trovato praticamente subito la soluzione, far fare a fail2ban il lavoro di ban\u00a0 degli IP al posto di portsentry, in altre parole portsentry &#8220;annusa&#8221; che qualcosa non va prende l&#8217;indirizzo maramaldo, lo passa a fail2ban che pensa a bannarlo tramite nftables.<br \/>\nSono curioso e appena avr\u00f2 tempo prover\u00f2 a scrivere una kill-run per portsentry direttamente senza fare biglia e sponda anche se onestamente il metodo pare funzionare.<br \/>\nAl solito nel \/etc\/portsentry\/portsentry.ignore.static gli indirizzi dei bravi ragazzi che possono fare quel che gli pare su queste macchine, il portsentry.conf puro e semplice \u00e8 questo<\/p>\n<p>TCP_PORTS=&#8221;1,7,9,11,15,70,79,80,109,110,111,119,138,139,143,512,513,514,515,540,635,<\/p>\n<p>1080,1524,2000,2001,4000,4001,5742,6000,6001,6667,12345,12346,20034,27665,30303,32771,32772,32773,32774,31337,40421,40425,49724,54320&#8243;<br \/>\nUDP_PORTS=&#8221;1,7,9,66,67,68,69,111,137,138,161,162,474,513,517,518,635,640,641,666,700,2049,31335,27444,34555,32770,32771,32772,32773,32774,31337,54321&#8243;<\/p>\n<p>ADVANCED_PORTS_TCP=&#8221;1024&#8243;<br \/>\nADVANCED_PORTS_UDP=&#8221;1024&#8243;<\/p>\n<p>ADVANCED_EXCLUDE_TCP=&#8221;113,139&#8243;<br \/>\nADVANCED_EXCLUDE_UDP=&#8221;520,138,137,67&#8243;<\/p>\n<p>IGNORE_FILE=&#8221;\/etc\/portsentry\/portsentry.ignore&#8221;<br \/>\nHISTORY_FILE=&#8221;\/var\/lib\/portsentry\/portsentry.history&#8221;<br \/>\nBLOCKED_FILE=&#8221;\/var\/lib\/portsentry\/portsentry.blocked&#8221;<\/p>\n<p>RESOLVE_HOST = &#8220;0&#8221;<\/p>\n<p>BLOCK_UDP=&#8221;2&#8243;<br \/>\nBLOCK_TCP=&#8221;2&#8243;<\/p>\n<p>KILL_ROUTE=&#8221;\/sbin\/route add -host $TARGET$ reject&#8221;<\/p>\n<p>KILL_HOSTS_DENY=&#8221;ALL: $TARGET$ : DENY&#8221;<\/p>\n<p>KILL_RUN_CMD_FIRST = &#8220;1&#8221;<\/p>\n<p>KILL_RUN_CMD=&#8221;\/usrlocal\/bin\/portsentry_external.sh $TARGET$&#8221;<\/p>\n<p>SCAN_TRIGGER=&#8221;0&#8243;<\/p>\n<p>in \/usr\/loca\/bin\/ c&#8217;\u00e8 il file portsentry_external.sh che contiene:<\/p>\n<p>#!\/bin\/bash<br \/>\n### in modo BLOCK_TCP\/UDP=2 il comando \/sbin\/route add -host $TARGET$ reject non viene eseguito<br \/>\n\/sbin\/route add -host $1 reject<br \/>\n### chiamata di fail2ban<br \/>\n\/usr\/bin\/fail2ban-client set portsentry banip $1<\/p>\n<p>ultimo passo andare a creare nella directory \/etc\/fail2ban\/jail.d\/\u00a0 il file portsentry.conf che contiene:<\/p>\n<p>[portsentry]<br \/>\nenabled = true<br \/>\nfilter = portsentry<br \/>\nlogpath = \/var\/lib\/portsentry\/portsentry.history<br \/>\nbanaction = nftables-allports<br \/>\nbantime = 86400 ; 1 giorno<br \/>\nmaxretry = 1<br \/>\nprotocol = 0-255<\/p>\n<p>visto che all&#8217;inizio \/var\/lib\/portsentry\/portsentry.history non esiste crearlo con un touch altrimenti fail2ban fallisce l&#8217;avvio<\/p>\n<p>&nbsp;<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Gi\u00e0 in passato avevo parlato qui di portsentry, e nel corso degli anni mi sono reso conto di quanto sia utile e quindi non ne voglio pi\u00f9 fare a meno, la questione \u00e8 che per\u00f2 con nftables la cosa cambia un po quindi mi son dovuto adeguare e cercare una soluzione dato che sicuramente qualcuno [&hellip;]<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[109,110,8,14,6],"tags":[197,195,138,180,196],"class_list":["post-1864","post","type-post","status-publish","format-standard","hentry","category-firewall","category-ids","category-linux","category-networking","category-work","tag-devuan-beowulf","tag-fail2ban","tag-ids-ips","tag-nftables","tag-portsentry"],"_links":{"self":[{"href":"http:\/\/clark.tipistrani.it\/index.php?rest_route=\/wp\/v2\/posts\/1864","targetHints":{"allow":["GET"]}}],"collection":[{"href":"http:\/\/clark.tipistrani.it\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"http:\/\/clark.tipistrani.it\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"http:\/\/clark.tipistrani.it\/index.php?rest_route=\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"http:\/\/clark.tipistrani.it\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=1864"}],"version-history":[{"count":4,"href":"http:\/\/clark.tipistrani.it\/index.php?rest_route=\/wp\/v2\/posts\/1864\/revisions"}],"predecessor-version":[{"id":1888,"href":"http:\/\/clark.tipistrani.it\/index.php?rest_route=\/wp\/v2\/posts\/1864\/revisions\/1888"}],"wp:attachment":[{"href":"http:\/\/clark.tipistrani.it\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=1864"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"http:\/\/clark.tipistrani.it\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=1864"},{"taxonomy":"post_tag","embeddable":true,"href":"http:\/\/clark.tipistrani.it\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=1864"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}