Re: fail2ban

Wed, 14 Jan 2015 14:02:53 -0800

Je crois que le RETURN, ça veut seulement dire que la règle subit un transfert.
De fait si j'ai bien compris, elle est passée par iptables à fail2ban qui va prendre 


la main dessus et la passer au tamis, puis la retourner à iptables  
avec les IP qu'il


faut bannir.

Le 14 janv. 15 à 22:50, BERTRAND Joël a écrit :


        Bonsoir à tous,


	J'ai un truc un peu bizarre avec fail2ban 0.9.1 que j'ai installé  
sur un serveur. J'ai patché l'outil pour qu'il traite aussi les  
IPv6 (https://tetsumaki.net/blog/article/2014-03-04-ajout-du- 
support-ipv6-sur-fail2ban.html).



	J'observe un comportement étrange sans savoir si ce comportement  
est provoqué par le patch IPv6 (mais il n'a rien de complexe) ou si  
c'est dû à l'augmentation ces derniers jours des attaques. En  
effet, j'ai un /29 et je subis actuellement en IPv4 des attaques  
sur toutes les IP à un rythme soutenu.


ip(6)tables -L renvoient :
... (mes règles habituelles)
Chain f2b-apache-auth (3 references)
target     prot opt source               destination
RETURN     all  --  anywhere             anywhere
RETURN     all  --  anywhere             anywhere
RETURN     all  --  anywhere             anywhere

Chain f2b-courier-auth (3 references)
target     prot opt source               destination
RETURN     all  --  anywhere             anywhere
RETURN     all  --  anywhere             anywhere
RETURN     all  --  anywhere             anywhere

Chain f2b-ejabberd-auth (3 references)
target     prot opt source               destination
RETURN     all  --  anywhere             anywhere
RETURN     all  --  anywhere             anywhere
RETURN     all  --  anywhere             anywhere



	Il m'arrive d'avoir une centaine de RETURN au bout d'une journée.  
Je relance fail2ban et ça fonctionne jusqu'à la prochaine fois.


        Suis-je le seul à observer cela ?

        Cordialement,

        JKB

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists


Pour vous DESABONNER, envoyez un message avec comme objet  
"unsubscribe"

vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: https://lists.debian.org/54b6e498.4050...@systella.fr



--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: 
https://lists.debian.org/ba95a7b8-9391-4c00-8ab7-9f6160072...@worldonline.fr























					Répondre à