Re: blacklistage automatique IP agressive
Le Fri, 30 Dec 2005 07:20:17 +0100 David Dumortier [EMAIL PROTECTED] a écrit: Est-ce que un --limit 1/minute ne suffirait pas ? Cela laisserait le soin à ssh de compter les failure, je ne pense pas que ssh ré-ouvre une connexion à chaque entrée de mot de passe (non vérifié). ssh reouvre une connexion tous les 3 échecs. telnet-ssl tous les 5 échecs. Sinon le --set défini un compteur, non ? Oui François, pour le patch je suppose que tu es en kernel 2.4 ? Dans un 2.6.14 c'est intégré ? Oui, un 2.4.19, ipt_recent a été rajouté sur les derniers 2.4 et est bien sûr dans les 2.6 François Boisson -- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Pensez à rajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: blacklistage automatique IP agressive
ou utilisé iptables. iptables -I INPUT -p tcp --dport 22 -m state --state NEW -m recent --set iptables -I INPUT -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 90 --hitcount 3 -j DROP Dans ce cas ou bout de 3 connection echoué l'ip est banni pendant 90 secondes. bonjour mon cas est presque semblable : je vais du nat sur l'ip 192.168.0.2 j'aimerais faire la meme chose d'après ces lignes iptables : #autorisation ssh #/sbin/iptables -t nat -A PREROUTING -p tcp -i eth1 --dport 22 -j DNAT --to 192.168.0.2:22 #/sbin/iptables -A FORWARD -p tcp -i eth1 -d 192.168.0.2 --dport 22 -j ACCEPT #/sbin/iptables -A INPUT -p tcp --destination-port 22 -j ACCEPT -- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Pensez à rajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: blacklistage automatique IP agressive
deny a écrit : iptables -I INPUT -p tcp --dport 22 -m state --state NEW -m recent --set iptables -I INPUT -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 90 --hitcount 3 -j DROP Dans ce cas ou bout de 3 connection echoué l'ip est banni pendant 90 secondes. mon cas est presque semblable : je vais du nat sur l'ip 192.168.0.2 j'aimerais faire la meme chose d'après ces lignes iptables : #autorisation ssh #/sbin/iptables -t nat -A PREROUTING -p tcp -i eth1 --dport 22 -j DNAT --to 192.168.0.2:22 #/sbin/iptables -A FORWARD -p tcp -i eth1 -d 192.168.0.2 --dport 22 -j ACCEPT #/sbin/iptables -A INPUT -p tcp --destination-port 22 -j ACCEPT Remplace INPUT par FORWARD. PS: à quoi sert la 3ème règle, au juste ? -- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Pensez à rajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: blacklistage automatique IP agressive
Salut, Armando_hardz a écrit : iptables -I INPUT -p tcp --dport 22 -m state --state NEW -m recent --set iptables -I INPUT -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 90 --hitcount 3 -j DROP Dans ce cas ou bout de 3 connection echoué l'ip est banni pendant 90 secondes. Comment fait iptables pour savoir qu'une conneXion a échoué ? -- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Pensez à rajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: blacklistage automatique IP agressive
Le 13146ième jour après Epoch, [EMAIL PROTECTED] écrivait: Salut, Armando_hardz a écrit : iptables -I INPUT -p tcp --dport 22 -m state --state NEW -m recent --set iptables -I INPUT -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 90 --hitcount 3 -j DROP Dans ce cas ou bout de 3 connection echoué l'ip est banni pendant 90 secondes. Comment fait iptables pour savoir qu'une conneXion a échoué ? C'est pas l'échec qui est ici mesuré, mais le nb de connections en 90 secondes. Dans l'exemple, si il y a eu plus de 3 packets SYN en 90 secondes, alors l'IP est bloquée. Que les tentatives soient ou non fructueuses. Il faut donc faire attention aux gourmands du ssh (comme moi) qui peuvent être BL. -- Si Dieu meurt, c'est Jésus qui hérite de tout. Évangile selon Saint Paul Lederman. -+- Les nuls -+-
Re: blacklistage automatique IP agressive
Le Thu, 29 Dec 2005 01:13:01 +0100 Armando_hardz [EMAIL PROTECTED] a écrit: iptables -I INPUT -p tcp --dport 22 -m state --state NEW -m recent --set iptables -I INPUT -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 90 --hitcount 3 -j DROP Impeccable ton truc, j'ai patché mon noyau et compilé le module ipt_recent, ça marche au poil et c'est très simple. François Boisson -- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Pensez à rajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: blacklistage automatique IP agressive
François TOURDE a écrit : Le 13146ième jour après Epoch, [EMAIL PROTECTED] écrivait: Salut, Armando_hardz a écrit : iptables -I INPUT -p tcp --dport 22 -m state --state NEW -m recent --set iptables -I INPUT -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 90 --hitcount 3 -j DROP Dans ce cas ou bout de 3 connection echoué l'ip est banni pendant 90 secondes. Comment fait iptables pour savoir qu'une conneXion a échoué ? C'est pas l'échec qui est ici mesuré, mais le nb de connections en 90 secondes. Dans l'exemple, si il y a eu plus de 3 packets SYN en 90 secondes, alors l'IP est bloquée. Que les tentatives soient ou non fructueuses. Il faut donc faire attention aux gourmands du ssh (comme moi) qui peuvent être BL. Exact je me suis assez mal exprimé dans mon premier mail c'est le nombre de SYN qui est limité sur 90 secondes. Il n'empeche que si tu possede des addresses ip fixe tu peut whitelisté les machines autorisé dans iptables. Martins Armando -- Pensez � lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Pensez � rajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: blacklistage automatique IP agressive
Bonjour, François Boisson a écrit : Le Thu, 29 Dec 2005 01:13:01 +0100 Armando_hardz [EMAIL PROTECTED] a écrit: iptables -I INPUT -p tcp --dport 22 -m state --state NEW -m recent --set iptables -I INPUT -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 90 --hitcount 3 -j DROP Impeccable ton truc, j'ai patché mon noyau et compilé le module ipt_recent, ça marche au poil et c'est très simple. Est-ce que un --limit 1/minute ne suffirait pas ? Cela laisserait le soin à ssh de compter les failure, je ne pense pas que ssh ré-ouvre une connexion à chaque entrée de mot de passe (non vérifié). Sinon le --set défini un compteur, non ? François, pour le patch je suppose que tu es en kernel 2.4 ? Dans un 2.6.14 c'est intégré ? Reste que la méthode est élégante. François Boisson -- David Dumortier -- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Pensez à rajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: blacklistage automatique IP agressive
Francois Sauterey a écrit : Je n'arrête pas d'avoir des tentatives de connexion ssh sur ma machine, et ça m'énerve. Quelqu'un aurait-il un 'machin' qui via iptables blacklisterai automatiquement une IP faisant plus de n tentatives en x minutes ? C'est difficile de confier ça à crontab (ou alors on l'exécute toutes les minutes, c'est lourd) Changer le port ssh. C'est radical. -- Daniel Huhardeaux _ _ _ _ enum+48 32 285 5276 (_ __) _ ) _ (_ __) _ _(_) iaxtel 1-700-849-6983 / / / // / // / / / / /_/ / / sip/iax:callto [EMAIL PROTECTED]/_/ ( ___( ___/ /_/ (_/ (_/_/.netFWD# 422493 -- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Pensez à rajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: blacklistage automatique IP agressive
Le Mercredi 28 Décembre 2005 00:56, Francois Mescam a écrit : Le Wed, Dec 28, 2005 à 12:14:08AM +0100, Francois Sauterey a écrit Je n'arrête pas d'avoir des tentatives de connexion ssh sur ma machine, et ça m'énerve. Quelqu'un aurait-il un 'machin' qui via iptables blacklisterai automatiquement une IP faisant plus de n tentatives en x minutes ? C'est difficile de confier ça à crontab (ou alors on l'exécute toutes les minutes, c'est lourd) apt-get install fail2ban Pile poil ce qu'il me fallait... il est pas dans sarge, mais l'install du paquet fonctionne très bien (pas de dépendance problématique) merci -- Francois Sauterey @: Francois_AT_Sauterey.org -- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Pensez à rajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: blacklistage automatique IP agressive
Daniel Huhardeaux a écrit : Francois Sauterey a écrit : Je n'arrête pas d'avoir des tentatives de connexion ssh sur ma machine, et ça m'énerve. Quelqu'un aurait-il un 'machin' qui via iptables blacklisterai automatiquement une IP faisant plus de n tentatives en x minutes ? C'est difficile de confier ça à crontab (ou alors on l'exécute toutes les minutes, c'est lourd) Changer le port ssh. C'est radical. ou utilisé iptables. iptables -I INPUT -p tcp --dport 22 -m state --state NEW -m recent --set iptables -I INPUT -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 90 --hitcount 3 -j DROP Dans ce cas ou bout de 3 connection echoué l'ip est banni pendant 90 secondes. Une p'tite url pour couronner le tout : http://www.debian-administration.org/articles/250 Martins Armando -- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Pensez à rajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: blacklistage automatique IP agressive
Le Wed, Dec 28, 2005 à 12:14:08AM +0100, Francois Sauterey a écrit Je n'arrête pas d'avoir des tentatives de connexion ssh sur ma machine, et ça m'énerve. Quelqu'un aurait-il un 'machin' qui via iptables blacklisterai automatiquement une IP faisant plus de n tentatives en x minutes ? C'est difficile de confier ça à crontab (ou alors on l'exécute toutes les minutes, c'est lourd) apt-get install fail2ban -- Francois Mescam -- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Pensez à rajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: blacklistage automatique IP agressive
Francois Sauterey a écrit : Je n'arrête pas d'avoir des tentatives de connexion ssh sur ma machine, et ça m'énerve. Quelqu'un aurait-il un 'machin' qui via iptables blacklisterai automatiquement une IP faisant plus de n tentatives en x minutes ? C'est difficile de confier ça à crontab (ou alors on l'exécute toutes les minutes, c'est lourd) Pourquoi ne pas utiliser le portknocking (apt-get install knockd) -- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Pensez à rajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
