у нас есть так называемый шлюз в инет .. инет -сервер.. который оставили на меня .. там стоит скьюид и много еще чего ... сегодня после перезагрузки( млин) он начал зарезать запросы с одной из внутренних подсеток, с других все нормально ... смотрю log\messages там следующее
Aug 11 08:43:53 ivcgw portsentry[2643]: attackalert: Host: 172.16.129.12 is alr
eady blocked - Ignoring
Aug 11 08:43:53 ivcgw kernel: Packet log: input DENY eth0 PROTO=17 172.16.129.1
2:137 172.16.255.255:137 L=78 S=0x00 I=5693 F=0x0000 T=128 (#203)172.16.0.0 - это сетка которая режется .. смотрю хосты из нее попадают в hosts.deny
что это значит ? где смотреть ?еще стоит psad (антисканер) .. грешу на него ..
>еще стоит psad (антисканер) .. грешу на него ..
правильно грешишь :)
я сам с антисканерами не сталкивался, но начал бы копать именно под него :)
>>еще стоит psad (антисканер) .. грешу на него ..
>правильно грешишь :)
>я сам с антисканерами не сталкивался, но начал бы копать именно под
>него :)
Искать в самом антисканере бесполезно.. он просто блокирует атаку.. смотри в squid.conf или в конфиге фаирвола... Ентот антисканер мог прсто внести туда изменения...С уважением Zorro...
>Искать в самом антисканере бесполезно.. он просто блокирует атаку..
кстати, а вдруг на самом деле атака? никаких вирей или троянов нет?>смотри в squid.conf
уж сквид тут причем, если хосты в hosts.deny попадают?
>Aug 11 08:43:53 ivcgw portsentry[2643]: attackalert: Host: 172.16.129.12 >is already blocked - Ignoring>еще стоит psad (антисканер) .. грешу на него ..
Нен знаю, что такое psad, а вот portsentry у тебя точно есть, и хост этот у него в списке уже заблокированных. С portsentry разобраться надо, чего он его заблокировал.
>>Aug 11 08:43:53 ivcgw portsentry[2643]: attackalert: Host: 172.16.129.12 >is already blocked - Ignoring
>
>>еще стоит psad (антисканер) .. грешу на него ..
>
>Нен знаю, что такое psad, а вот portsentry у тебя точно есть,
>и хост этот у него в списке уже заблокированных. С portsentry
>разобраться надо, чего он его заблокировал.