Используя то, что называется PSAD, теперь он блокирует сканирование портов. pSAD проверяет журналы, и вы можете установить уровни опасности, например: 15 сканирований = уровень1, 50 сканирований = уровень2 и т. д. и получать уведомления об определенном уровне опасности.

Если у вас возникли проблемы со сканированием портов, настоятельно рекомендую посмотреть pSAD http://cipherdyne.org/psad/

Он обнаруживает вторжение автоматически, и вам не нужно ничего менять в таблицах IP-адресов, поскольку он сам об этом позаботится.

Спасибо @ecelis за его комментарий, который привел меня к этому открытию.

Поскольку вы являетесь поставщиком VPS, и я предполагаю, что ваши клиенты получают root-права на своих VPS, вы очень мало можете сделать в сетевом стеке, поскольку фильтрация не будет блокировать или обнаруживать все, и, скорее всего, вы получите много ложных запросов. . Вы можете настроить iptables для фильтрации определенных повторяющихся tcp-флагов в короткие промежутки времени, регистрировать их и использовать что-то для отправки вам уведомлений.

Единственное другое решение, о котором я могу думать, - это сканирование файловой системы ваших клиентов с помощью сканера руткитов, такого как https://rootkit.nl/projects/rootkit_hunter.html или аналогичные, ищущие известные инструменты. Но вы можете столкнуться с проблемами конфиденциальности со стороны ваших клиентов.

Исходящие ACL

На нашем брандмауэре настройте исходящие ACL, чтобы ваши пользователи могли использовать только те сервисы в Интернете, которые вы разрешаете.

Я полагаю, что правила http и https для исходящего порта с any> any подойдут. DNS будет использоваться внутренне (предположение с моей стороны), и это, вероятно, решит вашу проблему.