Je vien de DL portsentry avec apt-get et de l'installer mais a la difference du rpm la il n'est pas configurer. Faut le faire a la main en decommentant certaines lignes suivants la version linux ou unix que l'on a... mais mon probleme ce que meme en decommentant cette ligne ca ne marche tjs pas
 
KILL_ROUTE="/sbin/iptables -I INPUT -s $TARGET$ -j DROP"
 
quand je fait nmap g toujours les ports en open et non filtered alors je comprend pas trop. Dans le fichier portsentry.ignore.static j'ai mis  127.0.0.1/32 (par defaut) et 192.168.0.0/16
@++

c un peu normal, si t'as mis ignorer le 127.0.0.1 et ton @ 192, c normal que si tu te scan ca ne detecte pas ....

ouai je me doute mais me detecter ou pas il devrait deja y avoir quand je fait un nmap "filtered" et non open et quand un pote me scan les ports de l'exterieur sur le ppp0 il le fait sans aucun soucis et ca c pas normal    
@++

c que la configuration ne marche pas.  
Mets en commentaire les entrees du portsentry.ignore.static.
et mets par ex KILL_ROUTE="/sbin/iptables -I INPUT -i lo -s $TARGET -j LOG"
Et tente de te scanner sur ta boucle local pour voir si ca log ou pas.
Et puis verifie si ton daemon portsentry se lance via inetd ou xnetd ou alors si c un daemon a lancer a la main. Et puis veirifer si le processus est bien entrain de tourner.

j'avais installé portsentry a un moment, et pis finalement je l'ai viré.
 
Si j'ai bien compris il ouvre toute une serie de ports, et quand il detecte une ip qui se connecte à plusieurs "faux ports" dans un certain délai il fait une alerte "oulala attention portscan" et il droppe tout traffic vers cette ip.
 
En quelque sorte ca revient a ouvrir les portes et les fenetres de sa maison, et a attendre tapis dans le noir avec un fusil.
 
Je me suis dit que finalement le plus simple etait de fermer soigneusement portes et fenetres, et de dormir tranquilement sans être réveillé par les fausses alarmes.
Avec iptables je me suis installé un firewall statefull très restrictif, je ne lance aucun démon dont je n'ai pas besoin, et je n'ouvre certains ports que ponctuellement quand je dois m'en servir. Quand je me fais scanner par les scriptkiddies, ils revoivent les memes réponses que mon pc soit allumé ou eteint: aucune
 
Les paranoiaques peuvent meme installer quelquechose comme fwanalog qui parse les logs et mail un petit résumé des paquets bloqués à l'administrateur.
On peut meme faire tourner portsentry derriere le firewall au cas ou celui ci aurait un probleme / ou été mal configuré
 
Mais portsentry seul je vois pas vraiment l'interet.

normalement c pas comme  ca que fonctionne portsentry...
Sous ma MDKE quand je l'avais installe il est en daemon et quand un mec scan ton tes ports il le kick via hosts.deny et/ou iptables mais en aucun cas il ouvre de faux ports. Mais comme toi sous Debian en fait quand on lance portsentry et qu'on fait un nmap on voit les ports qu'il est "cense" protege
@++

l'intéret que j'ai trouvé à portsentry est qu'en cas de scan , l'ip de mdrkikoolol part directement dans host.deny .  
C'est expeditif , mais efficace .  
 
Autrement dit , après votre machine est invisible pour le bouseux qui vous a scanné .
Je crois qu'en matière de sécurité on ne peut rêver mieux , non ?