Estoy creando un entorno virtual donde he creado tres máquinas virtuales,
- CentOS como servidor web Apache
- CentOs como una máquina de ataque
- FreeBSD con Honeyd para configurar Honeypot
He conectado las tres máquinas virtuales en una misma red, e instalé honeyd en la máquina Attacker.
La IP del atacante es 192.168.154.100
El IP de la máquina donde está instalado honeyd es 192.168.154.28
La IP de honeypot que se crea mediante honeyd es 192.168.154.22
La IP de mi servidor web Apache es 192.168.154.21
Utilizando Attacker machine, realizo un escaneo de nmap usando el siguiente comando,
nmap 192.168.154.*
y honeyd detectaron exitosamente el ataque.
Pero tengo un problema, honeyd se instala en una máquina separada como servidor web Apache. ¿Cómo puedo bloquear las exploraciones TCP desde la dirección IP del atacante a mi servidor web?
Instalé un firewall en mi máquina virtual de servidor web Apache, pero ¿cómo sabe mi máquina Apache qué IP está realizando ataques para poder bloquearlos?