fail2ban / ssh dans Lenny: Ne fonctionne pas

Le
Merwin
Bonjour à tous,

J'ai installé fail2ban, et configuré celui-ci pour qu'il vérifie les
logs de SSH, afin de banir l'ip au bout de 3 erreurs de connexions:

[ssh]

enabled = true
port = ssh
filter = sshd
logpath = /var/log/auth.log
maxretry = 3

Mon 'banaction' est défini à 'shorewall', (qui existe bien dans
action.d), et qui est bien lancé/configuré.

Lorsque je fais:

fail2ban-regex /var/log.auth.log /etc/fail2ban/filter.d/sshd.conf

J'obtiens aucun résultat:

Sorry, no match

Je n'ai pas touché au filter.d/sshd.conf, qui contient ceci:

failregex = ^%(__prefix_line)s(?:error: PAM: )?Authentication failure
for .* from <HOST>s*$
^%(__prefix_line)s(?:error: PAM: )?User not known to the
underlying authentication module for .* from <HOST>s*$
^%(__prefix_line)sFailed (?:password|publickey) for .* from
<HOST>(?: port d*)?(?: sshd*)?$
^%(__prefix_line)sROOT LOGIN REFUSED.* FROM <HOST>s*$
^%(__prefix_line)s[iI](?:llegal|nvalid) user .* from
<HOST>s*$
^%(__prefix_line)sUser .+ from <HOST> not allowed because
not listed in AllowUsers$
^%(__prefix_line)sUser .+ from <HOST> not allowed because
none of user's groups are listed in AllowGroupss*$
^%(__prefix_line)sauthentication failure; logname=S* uid=
S* euid=S* tty=S* ruser=S* rhost=<HOST>(?:s+user=.*)?s*$
^%(__prefix_line)srefused connect from S+ (<HOST>)s*$
^%(__prefix_line)sAddress <HOST> .* POSSIBLE BREAK-IN
ATTEMPTs*$

Et mon fichier de log contient cette ligne, qui devrait correspondre au
3ème regex, hors ce n'est pas le cas!

Oct 25 10:09:30 universe sshd[13959]: Failed password for merwin from
90.10.109.43 port 35564 ssh2

Je répète je n'ai pas touché à la regex! Merci d'avance ;-)

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
S e r g e
Le #20420291
Le Sunday 25 October 2009 10:14:36 Merwin, vous avez écrit :
Bonjour à tous,


Salut Merwin,

J'ai installé fail2ban, et configuré celui-ci pour qu'il và ©rifie les
logs de SSH, afin de banir l'ip au bout de 3 erreurs de connexions:

[ssh]

enabled = true
port = ssh
filter = sshd
logpath = /var/log/auth.log
maxretry = 3

Mon 'banaction' est défini à 'shorewall', (qui existe bien dans
action.d), et qui est bien lancé/configuré.

Lorsque je fais:

fail2ban-regex /var/log.auth.log /etc/fail2ban/filter.d/sshd.conf




Et avec cette syntaxe:

% fail2ban-regex /var/log/auth.log /etc/fail2ban/filter.d/sshd.conf

Ou bien en testant d'autres journaux:

% fail2ban-regex /var/log/messages /etc/fail2ban/filter.d/sshd.conf

J'obtiens aucun résultat:

Sorry, no match

Je n'ai pas touché au filter.d/sshd.conf, qui contient ceci:

failregex = ^%(__prefix_line)s(?:error: PAM: )?Authentication failure
for .* from <HOST>s*$
^%(__prefix_line)s(?:error: PAM: )?User not known to the
underlying authentication module for .* from <HOST>s*$
^%(__prefix_line)sFailed (?:password|publickey) for .* from
<HOST>(?: port d*)?(?: sshd*)?$
^%(__prefix_line)sROOT LOGIN REFUSED.* FROM <HOST>s*$
^%(__prefix_line)s[iI](?:llegal|nvalid) user .* from
<HOST>s*$
^%(__prefix_line)sUser .+ from <HOST> not allowed because
not listed in AllowUsers$
^%(__prefix_line)sUser .+ from <HOST> not allowed because
none of user's groups are listed in AllowGroupss*$
^%(__prefix_line)sauthentication failure; logname=S* uid=
S* euid=S* tty=S* ruser=S* rhost=<HOST>(?:s+user=.*)?s*$
^%(__prefix_line)srefused connect from S+ (<HOST>)s*$
^%(__prefix_line)sAddress <HOST> .* POSSIBLE BREAK-IN
ATTEMPTs*$

Et mon fichier de log contient cette ligne, qui devrait correspondre au
3ème regex, hors ce n'est pas le cas!

Oct 25 10:09:30 universe sshd[13959]: Failed password for merwin from
90.10.109.43 port 35564 ssh2

Je répète je n'ai pas touché à la regex! Merci d'avan ce ;-)




@+
--
(o_
(/)_
S e r g e

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Merwin
Le #20420371
Le dimanche 25 octobre 2009 à 12:45 +0100, S e r g e a écrit :
Le Sunday 25 October 2009 10:14:36 Merwin, vous avez écrit :
> Bonjour à tous,
Salut Merwin,
>
> J'ai installé fail2ban, et configuré celui-ci pour qu'il vérifie les
> logs de SSH, afin de banir l'ip au bout de 3 erreurs de connexions:
>
> [ssh]
>
> enabled = true
> port = ssh
> filter = sshd
> logpath = /var/log/auth.log
> maxretry = 3
>
> Mon 'banaction' est défini à 'shorewall', (qui existe bien dans
> action.d), et qui est bien lancé/configuré.
>
> Lorsque je fais:
>
> fail2ban-regex /var/log.auth.log /etc/fail2ban/filter.d/sshd.conf
>

Et avec cette syntaxe:

% fail2ban-regex /var/log/auth.log /etc/fail2ban/filter.d/sshd.conf




Ok, donc en effet j'avais fais n'importe quoi, pusique j'avais mis '.'
au lieu d'un '/'. Donc en analysant le bon fichier:

Summary
======
Addresses found:
[1]
[2]
[3]
90.10.109.43 (Sun Oct 25 10:09:30 2009)
...

Donc il trouve bien la ligne et en sort l'adresse IP. Seulement quand je
vais voir dans les logs de fail2ban, il m'indique bien:

2009-10-25 03:02:23,735 fail2ban.filter : DEBUG /var/log/auth.log has
been modified
2009-10-25 03:02:23,736 fail2ban.filter.datedetector: DEBUG Sorting the
template list

Donc il détecte bien que le fichier est modifié, donc je suppose qu'il
l'analyse avec le regex ci-dessus, mais il ne banni personne...

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
S e r g e
Le #20420421
Le Sunday 25 October 2009 13:22:55 Merwin, vous avez écrit :
Le dimanche 25 octobre 2009 à 12:45 +0100, S e r g e a écrit :
> Le Sunday 25 October 2009 10:14:36 Merwin, vous avez écrit :
> > Bonjour à tous,
>
> Salut Merwin,
>
> > J'ai installé fail2ban, et configuré celui-ci pour qu'il v érifie les
> > logs de SSH, afin de banir l'ip au bout de 3 erreurs de connexions:
> >
> > [ssh]
> >
> > enabled = true
> > port = ssh
> > filter = sshd
> > logpath = /var/log/auth.log
> > maxretry = 3
> >
> > Mon 'banaction' est défini à 'shorewall', (qui existe bien dans
> > action.d), et qui est bien lancé/configuré.
> >
> > Lorsque je fais:
> >
> > fail2ban-regex /var/log.auth.log /etc/fail2ban/filter.d/sshd.conf
>
> Et avec cette syntaxe:
>
> % fail2ban-regex /var/log/auth.log /etc/fail2ban/filter.d/sshd.conf

Ok, donc en effet j'avais fais n'importe quoi, pusique j'avais mis '.'
au lieu d'un '/'. Donc en analysant le bon fichier:

Summary
=======

Addresses found:
[1]
[2]
[3]
90.10.109.43 (Sun Oct 25 10:09:30 2009)
...

Donc il trouve bien la ligne et en sort l'adresse IP. Seulement quand je
vais voir dans les logs de fail2ban, il m'indique bien:

2009-10-25 03:02:23,735 fail2ban.filter : DEBUG /var/log/auth.log has
been modified
2009-10-25 03:02:23,736 fail2ban.filter.datedetector: DEBUG Sorting the
template list

Donc il détecte bien que le fichier est modifié, donc je suppos e qu'il
l'analyse avec le regex ci-dessus, mais il ne banni personne...



Je ne sais pas l'action que tu as choisi ...un oeil sur iptables/ip6tables :

% iptables -n -L
% ip6tables -n -L

Comme teste, demande à un ami de se connecter sur ton IP au port SSH ( 22).


@+
--
(o_
(/)_
S e r g e

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Merwin
Le #20420451
Le dimanche 25 octobre 2009 à 13:34 +0100, S e r g e a écrit :
Le Sunday 25 October 2009 13:22:55 Merwin, vous avez écrit :
> Le dimanche 25 octobre 2009 à 12:45 +0100, S e r g e a écrit :
> > Le Sunday 25 October 2009 10:14:36 Merwin, vous avez écrit :
> > > Bonjour à tous,
> >
> > Salut Merwin,
> >
> > > J'ai installé fail2ban, et configuré celui-ci pour qu'il vérifie les
> > > logs de SSH, afin de banir l'ip au bout de 3 erreurs de connexions:
> > >
> > > [ssh]
> > >
> > > enabled = true
> > > port = ssh
> > > filter = sshd
> > > logpath = /var/log/auth.log
> > > maxretry = 3
> > >
> > > Mon 'banaction' est défini à 'shorewall', (qui existe bien dans
> > > action.d), et qui est bien lancé/configuré.
> > >
> > > Lorsque je fais:
> > >
> > > fail2ban-regex /var/log.auth.log /etc/fail2ban/filter.d/sshd.conf
> >
> > Et avec cette syntaxe:
> >
> > % fail2ban-regex /var/log/auth.log /etc/fail2ban/filter.d/sshd.conf
>
> Ok, donc en effet j'avais fais n'importe quoi, pusique j'avais mis '.'
> au lieu d'un '/'. Donc en analysant le bon fichier:
>
> Summary
> ====== > >
> Addresses found:
> [1]
> [2]
> [3]
> 90.10.109.43 (Sun Oct 25 10:09:30 2009)
> ...
>
> Donc il trouve bien la ligne et en sort l'adresse IP. Seulement quand je
> vais voir dans les logs de fail2ban, il m'indique bien:
>
> 2009-10-25 03:02:23,735 fail2ban.filter : DEBUG /var/log/auth.log has
> been modified
> 2009-10-25 03:02:23,736 fail2ban.filter.datedetector: DEBUG Sorting the
> template list
>
> Donc il détecte bien que le fichier est modifié, donc je suppose qu'il
> l'analyse avec le regex ci-dessus, mais il ne banni personne...

Je ne sais pas l'action que tu as choisi ...un oeil sur iptables/ip6tables :

% iptables -n -L
% ip6tables -n -L

Comme teste, demande à un ami de se connecter sur ton IP au port SSH (22).


@+
--
(o_
(/)_
S e r g e




Dans banaction j'ai mit 'shorewall', qui correspond à la valeur par
defaut contenu dans /etc/fail2ban/action.d/shorewall.conf.

Dedans on y trouves ces deux lignes (je zappe les commentaires etc):

actionban = shorewall drop <ip>
actionban = shorewall allow <ip>

iptables ne contient aucune entrée dans DROP/REJECT concernant une
adresse IP quelquonque. J'essaye de me connecter moi même à la machine
distante en me trompant de mot de passe, et comme dit précédemment, il
détecte que le fichier de log est modifié mais ne fais rien.

J'ai même tenté avec 'iptables-multiport' comme action, mais idem, c'est
comme s'il n'essayait même pas d'éxécuté l'action, pusique rien n'est
logé, aucune erreur rien...

Si vous voulez essayer, voici l'ip de la machine: 91.121.52.49 / 22

Cela pourrait t'il venir du fait que je sois en même temps connecté en
ssh ? Et que du coup il ne banni pas quelqu'un déjà connecté?

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
S e r g e
Le #20420511
Le Sunday 25 October 2009 13:41:49 Merwin, vous avez écrit :
Le dimanche 25 octobre 2009 à 13:34 +0100, S e r g e a écrit :
> Le Sunday 25 October 2009 13:22:55 Merwin, vous avez écrit :
> > Le dimanche 25 octobre 2009 à 12:45 +0100, S e r g e a écri t :
> > > Le Sunday 25 October 2009 10:14:36 Merwin, vous avez écrit :
> > > > Bonjour à tous,
> > >
> > > Salut Merwin,
> > >
> > > > J'ai installé fail2ban, et configuré celui-ci pour qu'i l vérifie
> > > > les logs de SSH, afin de banir l'ip au bout de 3 erreurs de
> > > > connexions:
> > > >
> > > > [ssh]
> > > >
> > > > enabled = true
> > > > port = ssh
> > > > filter = sshd
> > > > logpath = /var/log/auth.log
> > > > maxretry = 3
> > > >
> > > > Mon 'banaction' est défini à 'shorewall', (qui existe b ien dans
> > > > action.d), et qui est bien lancé/configuré.
> > > >
> > > > Lorsque je fais:
> > > >
> > > > fail2ban-regex /var/log.auth.log /etc/fail2ban/filter.d/sshd.conf
> > >
> > > Et avec cette syntaxe:
> > >
> > > % fail2ban-regex /var/log/auth.log /etc/fail2ban/filter.d/sshd.conf
> >
> > Ok, donc en effet j'avais fais n'importe quoi, pusique j'avais mis '.'
> > au lieu d'un '/'. Donc en analysant le bon fichier:
> >
> > Summary
> > =======
> >
> > Addresses found:
> > [1]
> > [2]
> > [3]
> > 90.10.109.43 (Sun Oct 25 10:09:30 2009)
> > ...
> >
> > Donc il trouve bien la ligne et en sort l'adresse IP. Seulement quand
> > je vais voir dans les logs de fail2ban, il m'indique bien:
> >
> > 2009-10-25 03:02:23,735 fail2ban.filter : DEBUG /var/log/auth.log has
> > been modified
> > 2009-10-25 03:02:23,736 fail2ban.filter.datedetector: DEBUG Sorting
> > the template list
> >
> > Donc il détecte bien que le fichier est modifié, donc je su ppose qu'il
> > l'analyse avec le regex ci-dessus, mais il ne banni personne...
>
> Je ne sais pas l'action que tu as choisi ...un oeil sur
> iptables/ip6tables :
>
> % iptables -n -L
> % ip6tables -n -L
>
> Comme teste, demande à un ami de se connecter sur ton IP au port S SH
> (22).
>
>
> @+
> --
> (o_
> (/)_
> S e r g e

Dans banaction j'ai mit 'shorewall', qui correspond à la valeur par
defaut contenu dans /etc/fail2ban/action.d/shorewall.conf.

Dedans on y trouves ces deux lignes (je zappe les commentaires etc):

actionban = shorewall drop <ip>
actionban = shorewall allow <ip>

iptables ne contient aucune entrée dans DROP/REJECT concernant une
adresse IP quelquonque. J'essaye de me connecter moi même à la machine
distante en me trompant de mot de passe, et comme dit précédemm ent, il
détecte que le fichier de log est modifié mais ne fais rien.

J'ai même tenté avec 'iptables-multiport' comme action, mais id em, c'est
comme s'il n'essayait même pas d'éxécuté l'action, pu sique rien n'est
logé, aucune erreur rien...

Si vous voulez essayer, voici l'ip de la machine: 91.121.52.49 / 22

Cela pourrait t'il venir du fait que je sois en même temps connect é en
ssh ? Et que du coup il ne banni pas quelqu'un déjà connectà ©?



Comme je disais: "que dissent iptables et ip6tables? "

% iptables -n -L
% ip6tables -n -L

De là tu connaitras la config de shorewall et la nouvelle de Fail2Ban. Pour le
reste on verras suivant les retours de iptables et ip6tables.

@+
PS: on ne donne pas son IP sur une liste même sur Debian.
PS: on poste sur la liste, pas en double ( liste + privée ).
--
(o_
(/)_
S e r g e

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Merwin
Le #20420611
Voici le retour iptables:

Chain INPUT (policy DROP)
target prot opt source destination
fail2ban-pam-generic tcp -- 0.0.0.0/0 0.0.0.0/0
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
eth0_in all -- 0.0.0.0/0 0.0.0.0/0
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state
RELATED,ESTABLISHED
Reject all -- 0.0.0.0/0 0.0.0.0/0
LOG all -- 0.0.0.0/0 0.0.0.0/0 LOG flags 0
level 6 prefix `Shorewall:INPUT:REJECT:'
reject all -- 0.0.0.0/0 0.0.0.0/0

Chain FORWARD (policy DROP)
target prot opt source destination
eth0_fwd all -- 0.0.0.0/0 0.0.0.0/0
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state
RELATED,ESTABLISHED
Reject all -- 0.0.0.0/0 0.0.0.0/0
LOG all -- 0.0.0.0/0 0.0.0.0/0 LOG flags 0
level 6 prefix `Shorewall:FORWARD:REJECT:'
reject all -- 0.0.0.0/0 0.0.0.0/0

Chain OUTPUT (policy DROP)
target prot opt source destination
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
eth0_out all -- 0.0.0.0/0 0.0.0.0/0
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state
RELATED,ESTABLISHED
Reject all -- 0.0.0.0/0 0.0.0.0/0
LOG all -- 0.0.0.0/0 0.0.0.0/0 LOG flags 0
level 6 prefix `Shorewall:OUTPUT:REJECT:'
reject all -- 0.0.0.0/0 0.0.0.0/0

Chain Drop (2 references)
target prot opt source destination
reject tcp -- 0.0.0.0/0 0.0.0.0/0 tcp
dpt:113
dropBcast all -- 0.0.0.0/0 0.0.0.0/0
ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 icmp type 3
code 4
ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 icmp type
11
dropInvalid all -- 0.0.0.0/0 0.0.0.0/0
DROP udp -- 0.0.0.0/0 0.0.0.0/0 multiport
dports 135,445
DROP udp -- 0.0.0.0/0 0.0.0.0/0 udp
dpts:137:139
DROP udp -- 0.0.0.0/0 0.0.0.0/0 udp spt:137
dpts:1024:65535
DROP tcp -- 0.0.0.0/0 0.0.0.0/0 multiport
dports 135,139,445
DROP udp -- 0.0.0.0/0 0.0.0.0/0 udp
dpt:1900
dropNotSyn tcp -- 0.0.0.0/0 0.0.0.0/0
DROP udp -- 0.0.0.0/0 0.0.0.0/0 udp spt:53

Chain Reject (4 references)
target prot opt source destination
reject tcp -- 0.0.0.0/0 0.0.0.0/0 tcp
dpt:113
dropBcast all -- 0.0.0.0/0 0.0.0.0/0
ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 icmp type 3
code 4
ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 icmp type
11
dropInvalid all -- 0.0.0.0/0 0.0.0.0/0
reject udp -- 0.0.0.0/0 0.0.0.0/0 multiport
dports 135,445
reject udp -- 0.0.0.0/0 0.0.0.0/0 udp
dpts:137:139
reject udp -- 0.0.0.0/0 0.0.0.0/0 udp spt:137
dpts:1024:65535
reject tcp -- 0.0.0.0/0 0.0.0.0/0 multiport
dports 135,139,445
DROP udp -- 0.0.0.0/0 0.0.0.0/0 udp
dpt:1900
dropNotSyn tcp -- 0.0.0.0/0 0.0.0.0/0
DROP udp -- 0.0.0.0/0 0.0.0.0/0 udp spt:53

Chain all2all (0 references)
target prot opt source destination
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state
RELATED,ESTABLISHED
Reject all -- 0.0.0.0/0 0.0.0.0/0
LOG all -- 0.0.0.0/0 0.0.0.0/0 LOG flags 0
level 6 prefix `Shorewall:all2all:REJECT:'
reject all -- 0.0.0.0/0 0.0.0.0/0

Chain dropBcast (2 references)
target prot opt source destination
DROP all -- 0.0.0.0/0 0.0.0.0/0 PKTTYPE broadcast
DROP all -- 0.0.0.0/0 0.0.0.0/0 PKTTYPE multicast

Chain dropInvalid (2 references)
target prot opt source destination
DROP all -- 0.0.0.0/0 0.0.0.0/0 state
INVALID

Chain dropNotSyn (2 references)
target prot opt source destination
DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp flags:!
0x17/0x02

Chain dynamic (2 references)
target prot opt source destination

Chain eth0_fwd (1 references)
target prot opt source destination
dynamic all -- 0.0.0.0/0 0.0.0.0/0 state
INVALID,NEW
smurfs all -- 0.0.0.0/0 0.0.0.0/0 state
INVALID,NEW
tcpflags tcp -- 0.0.0.0/0 0.0.0.0/0

Chain eth0_in (1 references)
target prot opt source destination
dynamic all -- 0.0.0.0/0 0.0.0.0/0 state
INVALID,NEW
smurfs all -- 0.0.0.0/0 0.0.0.0/0 state
INVALID,NEW
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp
dpts:67:68
tcpflags tcp -- 0.0.0.0/0 0.0.0.0/0
net2fw all -- 0.0.0.0/0 0.0.0.0/0

Chain eth0_out (1 references)
target prot opt source destination
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp
dpts:67:68
fw2net all -- 0.0.0.0/0 0.0.0.0/0

Chain fail2ban-pam-generic (1 references)
target prot opt source destination
RETURN all -- 0.0.0.0/0 0.0.0.0/0

Chain fw2net (1 references)
target prot opt source destination
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state
RELATED,ESTABLISHED
ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0

Chain logdrop (0 references)
target prot opt source destination
LOG all -- 0.0.0.0/0 0.0.0.0/0 LOG flags 0
level 6 prefix `Shorewall:logdrop:DROP:'
DROP all -- 0.0.0.0/0 0.0.0.0/0

Chain logflags (5 references)
target prot opt source destination
LOG all -- 0.0.0.0/0 0.0.0.0/0 LOG flags 0
level 6 prefix `Shorewall:logflags:DROP:'
DROP all -- 0.0.0.0/0 0.0.0.0/0

Chain logreject (0 references)
target prot opt source destination
LOG all -- 0.0.0.0/0 0.0.0.0/0 LOG flags 0
level 6 prefix `Shorewall:logreject:REJECT:'
reject all -- 0.0.0.0/0 0.0.0.0/0

Chain net2all (0 references)
target prot opt source destination
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state
RELATED,ESTABLISHED
Drop all -- 0.0.0.0/0 0.0.0.0/0
LOG all -- 0.0.0.0/0 0.0.0.0/0 LOG flags 0
level 6 prefix `Shorewall:net2all:DROP:'
DROP all -- 0.0.0.0/0 0.0.0.0/0

Chain net2fw (1 references)
target prot opt source destination
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state
RELATED,ESTABLISHED
ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 icmp type
8
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:22
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:80
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:25
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp
dpt:443
Drop all -- 0.0.0.0/0 0.0.0.0/0
LOG all -- 0.0.0.0/0 0.0.0.0/0 LOG flags 0
level 6 prefix `Shorewall:net2fw:DROP:'
DROP all -- 0.0.0.0/0 0.0.0.0/0

Chain reject (11 references)
target prot opt source destination
DROP all -- 0.0.0.0/0 0.0.0.0/0 PKTTYPE broadcast
DROP all -- 0.0.0.0/0 0.0.0.0/0 PKTTYPE multicast
DROP all -- 255.255.255.255 0.0.0.0/0
DROP all -- 224.0.0.0/4 0.0.0.0/0
DROP 2 -- 0.0.0.0/0 0.0.0.0/0
REJECT tcp -- 0.0.0.0/0 0.0.0.0/0 reject-with
tcp-reset
REJECT udp -- 0.0.0.0/0 0.0.0.0/0 reject-with
icmp-port-unreachable
REJECT icmp -- 0.0.0.0/0 0.0.0.0/0 reject-with
icmp-host-unreachable
REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with
icmp-host-prohibited

Chain shorewall (0 references)
target prot opt source destination

Chain smurfs (2 references)
target prot opt source destination
LOG all -- 91.121.107.255 0.0.0.0/0 LOG flags 0
level 6 prefix `Shorewall:smurfs:DROP:'
DROP all -- 91.121.107.255 0.0.0.0/0
LOG all -- 91.255.255.255 0.0.0.0/0 LOG flags 0
level 6 prefix `Shorewall:smurfs:DROP:'
DROP all -- 91.255.255.255 0.0.0.0/0
LOG all -- 255.255.255.255 0.0.0.0/0 LOG flags 0
level 6 prefix `Shorewall:smurfs:DROP:'
DROP all -- 255.255.255.255 0.0.0.0/0
LOG all -- 224.0.0.0/4 0.0.0.0/0 LOG flags 0
level 6 prefix `Shorewall:smurfs:DROP:'
DROP all -- 224.0.0.0/4 0.0.0.0/0

Chain tcpflags (2 references)
target prot opt source destination
logflags tcp -- 0.0.0.0/0 0.0.0.0/0 tcp
flags:0x3F/0x29
logflags tcp -- 0.0.0.0/0 0.0.0.0/0 tcp
flags:0x3F/0x00
logflags tcp -- 0.0.0.0/0 0.0.0.0/0 tcp
flags:0x06/0x06
logflags tcp -- 0.0.0.0/0 0.0.0.0/0 tcp
flags:0x03/0x03
logflags tcp -- 0.0.0.0/0 0.0.0.0/0 tcp spt:0
flags:0x17/0x02

---

Désolé, je suis nouveau dans les liste de discussions. (Dailleurs je
n'ai pas de 'Répondre à la liste' dans mon client de mail, c'est pas
très pratique!)

Merci encore,


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
S e r g e
Le #20420851
Le Sunday 25 October 2009 15:30:10 Merwin, vous avez écrit :
Le dimanche 25 octobre 2009 à 15:23 +0100, S e r g e a écrit :
> > Donc pour résumer: CA FONCTIONNE!
> > Alors question: Pourquoi ça ne marche pas quand je le fais de ch ez moi
> > vers mon serveur (distant!)? Est-ce parceque je suis déjà c onnecté à la
> > machine via un autre terminal?
>
> NOTE: le teste dois être une connexion sur SSH REFUSE . Or si tu es
> connecté sur une console ton teste ne peut pas aboutir. Tu dois te
> déconnecter, PUIS établir un teste erroné. De là t on IP serat bloqué un
> temps, en passant, allonger le temps à 30 minutes est très bi en.
>
> @+

Merci pour tout, en fait ça marchait très bien, ce sont juste m es tests
qui étaient faussés... merci encore Serge!

Donc pour récapituler: Si vous voulez testez, déconnectez-vous
totalement de la machine avant de faire des essais!

Bonne journée à tous,
T.D



En effet tout était parfait :-) ...configuré comme un chef!

@ toi aussi bonne journée.

--
(o_
(/)_
S e r g e

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Merwin
Le #20420861
Le dimanche 25 octobre 2009 à 15:23 +0100, S e r g e a écrit :
> Donc pour résumer: CA FONCTIONNE!
> Alors question: Pourquoi ça ne marche pas quand je le fais de chez moi
> vers mon serveur (distant!)? Est-ce parceque je suis déjà connecté à la
> machine via un autre terminal?

NOTE: le teste dois être une connexion sur SSH REFUSE . Or si tu es connecté
sur une console ton teste ne peut pas aboutir. Tu dois te déconnecter, PUIS
établir un teste erroné. De là ton IP serat bloqué un temps, en passant,
allonger le temps à 30 minutes est très bien.

@+



Merci pour tout, en fait ça marchait très bien, ce sont juste mes tests
qui étaient faussés... merci encore Serge!

Donc pour récapituler: Si vous voulez testez, déconnectez-vous
totalement de la machine avant de faire des essais!

Bonne journée à tous,
T.D

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Publicité
Poster une réponse
Anonyme