允許對 psad 中的特定地址進行埠掃描

如何在 psad 中啟用特定地址（或範圍）的埠掃描？

預設情況下，我會從自己的監控服務中獲得大量日誌。如何告訴 psad 將我的地址或域視為受信任的地址或域？

我想避免將它們添加到 /etc/hosts.allow 文件中。

這是範例日誌文件消息：

  Scanned UDP ports: [36604-53945: 3 packets, Nmap: -sU]
  iptables chain: INPUT, 3 packets

  Source: a.b.c.200
  DNS: ns3-cache.example.com

  Destination: a.b.c.185
  DNS: my.machine.example.com

要將 IP 或範圍列入白名單，請使用以下/etc/psad/auto_dl文件：

它具有顯示其功能的範例：

#  <IP address>  <danger level>  <optional protocol>/<optional ports>;
#
# Examples:
#
#  10.111.21.23    5;                # Very bad IP.
#  127.0.0.1       0;                # Ignore this IP.
#  10.10.1.0/24    0;                # Ignore traffic from this entire class C.
#  192.168.10.4    3    tcp;         # Assign danger level 3 if protocol is tcp.
#  10.10.1.0/24    3    tcp/1-1024;  # Danger level 3 for tcp port range

您需要Ignore規則類型，因為它將 設置danger level為零，有效地忽略了該 IP/範圍。

引用自：https://serverfault.com/questions/611865