salut à tous,
voila j'ai un firewall qui tourne sur une Redhat 9 avec iptables +snort +portsentry.
mon problème c'est que snort me sort une quantité de log.
je me demande vraiment si ce sqont tous des attaques.
mais dans ces log il y a souvent "SCAN PORTS NMAP", "SCAN PORTS NESSUS".
j'ai donc voulu interdire tous type de scan en installant portsentry qui normalement dès que l'on emet une attaque blaklist l'ip de l'attaquant mais chez mois pas moyen de le faire fonctionner.
ce que je recherche à faire c'est simplement interdire tous type de scan de façon àce que l'attaquant ne sache pas quels type de ports sont ouverts sur mon firewall.
 
est ce que quelqu'un à une idée ???    

Je crois que portsentry ecoute les ports en les ouvrant. Or, iptables ca consiste à les fermer. Je pense que portsentry ne detecte rien et ne blacklist pas.

tu as raison en effet si je stop mon firewall là ça marche
mais alors comment faire pour que ça marche ensemble, en bloquant avec iptables et en empéchant les scans avec portsentry

http://www.funix.org/fr/linux/main [...] &page=menu

ca craint de bloquer avec iptables directement sans surveillance.
 
Suffit de faire plein de scan avec spoofing pour te remplir ta mémoire