<div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr">Hello Noel,<div><br></div><div>Thanks for your solution, I just tried it:</div><div><br></div><div><font face="monospace">iptables -I FORWARD 2 -m conntrack --ctstate NEW -m hashlimit --hashlimit-mode srcip --hashlimit-srcmask 32 --hashlimit-upto 5/s -j ACCEPT</font><br></div><div><br></div><div>But I got this error message:</div><div><br></div><div><font face="monospace">iptables v1.6.1: hashlimit: option "--hashlimit-name" must be specified</font><br></div><div><font face="monospace"><br></font></div><div>I googled and added the missing name like this:</div><div><font face="monospace"><br></font></div><div><div style="color:rgb(0,0,0)"><font face="monospace">iptables -I FORWARD 2 -m conntrack --ctstate NEW -m hashlimit --hashlimit-name NETSCAN --hashlimit-mode srcip --hashlimit-srcmask 32 --hashlimit-upto 5/s -j ACCEPT</font><br></div></div><div><font face="monospace"><br></font></div>Do you agree with this approach to prevent VPN users from running Netscans?<br><br>Many Thanks,<br>Houman<div><font face="monospace"><br></font></div></div></div></div></div></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Wed, 31 Jul 2019 at 14:51, Noel Kuntze <noel.kuntze@thermi.consulting> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-style:solid;border-left-color:rgb(204,204,204);padding-left:1ex">Hello Houman,<br>
<br>
A "netscan" attack isn't actually anything worthy of an abuse email.<br>
It's not part of a benign usage pattern of a VPN service, but it itself isn't illegal or anything.<br>
You can only slow down such scans by rate limiting the number of new connections using the hashlimit match module, for example.<br>
<br>
E.g. -A FORWARD -m conntrack --ctstate NEW -m hashlimit --hashlimit-mode srcip --hashlimit-srcmask 32 --hashlimit-upto 5/s -j ACCEPT<br>
<br>
Kind regards<br>
<br>
Noel<br>
<br>
Am 30.07.19 um 16:39 schrieb Houman:<br>
> Sorry I mistyped. I meant  Netscan.<br>
><br>
> The abuse message was saying: *NetscanOutLevel: Netscan detected from xx.xx.xx.xx*<br>
><br>
> This is possible though, that VPN users run a netscan and scan the ports. Am I correct?<br>
><br>
> Thanks,<br>
><br>
> On Tue, 30 Jul 2019 at 15:30, Thor Simon <<a href="mailto:Thor.Simon@twosigma.com" target="_blank">Thor.Simon@twosigma.com</a> <mailto:<a href="mailto:Thor.Simon@twosigma.com" target="_blank">Thor.Simon@twosigma.com</a>>> wrote:<br>
><br>
>     I don't think netstat does what you think it does.  It is a _local_ tool.  Perhaps the "abuse notification" you received is a phishing attack?<br>
><br>
>     Hae a look at the manual page:<br>
><br>
>     <a href="http://manpages.ubuntu.com/manpages/trusty/man8/netstat.8.html" rel="noreferrer" target="_blank">http://manpages.ubuntu.com/manpages/trusty/man8/netstat.8.html</a><br>
><br>
>     ________________________________<br>
>     From: Houman <<a href="mailto:houmie@gmail.com" target="_blank">houmie@gmail.com</a> <mailto:<a href="mailto:houmie@gmail.com" target="_blank">houmie@gmail.com</a>>><br>
>     Sent: Jul 30, 2019 10:18 AM<br>
>     To: <a href="mailto:users@lists.strongswan.org" target="_blank">users@lists.strongswan.org</a> <mailto:<a href="mailto:users@lists.strongswan.org" target="_blank">users@lists.strongswan.org</a>><br>
>     Subject: [strongSwan] How to block Netstat attacks from VPN users?<br>
><br>
>     Hello,<br>
><br>
>     I had an interesting abuse notification that someone has run a netstat through our VPN.<br>
><br>
>     > time                protocol src_ip src_port          dest_ip dest_port<br>
>     > ---------------------------------------------------------------------------<br>
>     > Tue Jul 30 13:38:01 2019 UDP 136.243.xxx.xxx 21346 =>    172.20.10.17 21346<br>
>     > Tue Jul 30 13:38:01 2019 UDP 136.243.xxx.xxx 21346 =>    172.20.10.19 21346<br>
><br>
>     I was wondering if there is a good way to block all VPN users from running hacker tools such as netstat (port scanning) altogether.  Is there a reliable way to do that with iptables?<br>
><br>
>     I came across this snippet that should block port scans, but I'm not sure if that would block a VPN user after all since the VPN traffic is masqueraded.<br>
><br>
>     iptables -A port-scan -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j RETURN<br>
>     iptables -A port-scan -j DROP --log-level 6<br>
>     iptables -A specific-rule-set -p tcp --syn -j syn-flood<br>
>     iptables -A specific-rule-set -p tcp --tcp-flags SYN,ACK,FIN,RST RST -j port-scan<br>
><br>
>     Any suggestions, please?<br>
>     Many Thanks,<br>
>     Houman<br>
><br>
><br>
><br>
<br>
-- <br>
Noel Kuntze<br>
IT security consultant<br>
<br>
GPG Key ID: 0x0739AD6C<br>
Fingerprint: 3524 93BE B5F7 8E63 1372 AF2D F54E E40B 0739 AD6C<br>
<br>
<br>
</blockquote></div>