Portscanlogger

[Kenny]

hi ich würde gerne mal wissen wie oft man eigendlich im internet so gescannt wird. also dachte ich mir probiers mal mit dem scanlogd unter suse 7.1 aus. ich gehe mit dsl (pppoed) ins internet. das dsl modem ist an eth0 angeschlossen und wenn ich online bin bekomme ich auch ein ppp0 device. alles normal wenn ich nun von meiner lokalen workstation mit nmap oder sonstigen portscannern einen scan mache (der geht auf eth1) wird der im /var/log/warn angezeigt, wenn jedoch jemand aus dem internet scannt wird nichts angezeigt. ich habe dan scanlogd deamon in der rc.config eingeschalted ... hat jemand eine erkärung warum die scans aus dem internet icht angezeigt werden??? oder kennt jemand andere programme die portscans loggen ???

gruss

kenny

<FONT COLOR="#a62a2a" SIZE="1">[ 20. August 2001 15:33: Beitrag 1 mal editiert, zuletzt von Kenny ]</font>

[yau]

mach doch deine ports von aussen mit IPCHAINS dicht.

wenn du den parameter -l einfuegst wird ein scan oder

zugriff allgemein in der /var/log/messages angezeigt.

z.B.:

ipchains -i ppp0 --dport 3128 -p TCP -l -j DENY

so kann niemand mehr von ausserhalb ueber ppp0 auf

deinen port 3128 (squid proxy z.b.) zugreifen....

ein zugriff wird in der /var/log/messages gespeichert.

abrufen am besten mit:

cat /var/log/messages | grep DENY

dann solltest du alle infos haben die du brauchst...

yau

[Kenny]

hmm... klingt ja nicht schlecht ... das kann ich auch gebrauchen, aber ich habe auch einen ftp server auf dem port 21 "amlaufen", und es soll ja auch leute geben die nur diesen port scannen (ja ja die gibt es ) und das würde ich auch gerne mitbekommen... was mache ich dann ???

[yau]

statt DENY ALLOW setzen - aber halt das flag -l setzen :-)

bischen mitdenken ;-)

[wildkart]

<BLOCKQUOTE><font size="1" face="Verdana, Arial, Helvetica, sans-serif">Zitat:</font><HR> statt DENY ALLOW setzen - aber halt das flag -l setzen :-)