Ca fait maintenant quelques années que j'utilise IPCOP à mon domicile, derrière ma box (free).
Ayant un peu de temps, je viens de me pencher pour la première fois sur Snort et sa configuration.
Ca fait un momment que ça me "titillait", j'avais remarqué y'a déja pas mal de temps, que lors d'un Scan de ports sur l'IP public, Snort loggue bien l'attaque, mais ne blackliste pas l'IP source, si bien que, le scan poursuit sont bonhomme de chemin sans coupure.
Bon, petite prescision, je suis un newbie dans ce domaine, et appréhender la configuration de Snort n'est pas aisé pour moi.
Première chose, ce que je voudrais : Lors de la détection d'un scan, au bout de n ports scannés par la même IP, que Snort Block cette IP pendant un temps t. Ainsi, les ports restants lui apparaiteront comme Stealth.
Deuxième chose, je suis convaincue (à tord ?) que Snort peut faire ça.
Enfin, j'ai épluché /etc/snort/snort.conf, et d'après mes tests, sfportscan n'est pas utilisé, malgré son activation dans le fichier.
Je prescise que, le service Snort fonctionne bien, les règles sont à jour, et que mon IPCOP l'est également ( 1.4.18 ). Ma freebox est en mode routeur, mais, l'interface rouge d'IPCOP est déclarée comme DMZ dans la console de gestion Free, c'est à dire que tout le traffic est redirigé vers IPCOP.
Donc je cherche une bonne Âme qui pourrait m'éclairer sur ce sujet
Merci, et bonne année
