Le 2 févr. 15 à 17:43, BERTRAND Joël a écrit :
Philippe Gras a écrit :
Le 2 févr. 15 à 16:47, BERTRAND Joël a écrit :
Philippe Gras a écrit :
Le 2 févr. 15 à 16:21, BERTRAND Joël a écrit :
Philippe Gras a écrit :
Je rencontre un problème sur les tentatives d'exploits
(casser un
mot de passe en testant des milliers de combinaisons
possibles).
Chez moi, fail2ban bannit bien les IP, mais l'attaque continue…
Chez moi aussi, ça fait ça, mais comme les attaquants sont
décorrélés, pas de problème. J'ai eu des queues de bannis de
plus de
50 machines et la cible récidive fonctionne parfaitement. En
revanche,
je ferme autoritairement la connexion avec un ICMP bien
senti, je
n'attends pas que la connexion se ferme d'elle même en
DROPant le
paquet. Ça aide un peu...
Ah, OK ! Peux-tu expliquer comment tu "fermes autoritairement la
connexion avec un ICMP bien senti" ?
Au lieu de garder la configuration par défaut (d'il y a très
longtemps, je n'ai pas vérifié si cette configuration avait changé
récemment) qui installe un DROP, mes règles installent un REJET
avec
--reject-with icmp-port-unreachable
Tu veux parler de la configuration de fail2ban, c'est ça ?
Oui.
Ça t'ennuierait de communiquer ta conf. perso, que je la recopie
chez moi ?
(… et d'autres sur la liste éventuellement aussi, parce que ça a
l'air
trop cool)
Si tu le dis... Elle n'a rien d'extraordinaire.
Dans jail.conf, j'ai un :
banaction = iptables46-multiport <- ipv4 _et_ ipv6
et dans action.d/iptables-common.conf un :
blocktype = REJECT --reject-with icmp-port-unreachable
Merci :-) C'est en effet cette ligne qui m'intéresse tout
particulièrement.
Le reste ressemble assez à une configuration par défaut. Encore
une fois, je n'ai pas suivi les évolutions de la configuration par
défaut et je ne sais pas comment est configuré un fail2ban récent
out of the box.
De toute façon, ma configuration non plus n'a plus grand-chose à voir
avec celle d'origine. Même si mes paquets datent du 25 décembre de
l'année dernière… Vu que je tourne avec NginX, j'ai dû créer plein de
filtres et une partie de mes sites transitent par Cloudflare, ce qui
a des
conséquences aussi sur le traitement des actions.
JKB
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet
"unsubscribe"
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: https://lists.debian.org/54cfa91c.70...@systella.fr
