A propos de fail2ban

Le
Luxpopuli Open source
--0016360e3dd8984289049cefd45d
Content-Type: text/plain; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable

Bonsoir,

J'ai deux questions à propos de fail2ban qui tourne actuellement sur ma
machine.

1°/ J'ai configuré fail2ban pour qu'il m'envoie un mail pour chaque adr=
esse
bannie.
Je reçois entre 5 et 10 mails par jour que je classe dans un répertoire=
de
ma boîte mail.
Comme ça fait plusieurs mois que ça dure, j'ai plusieurs centaines d'@ =
IP
bannies.

Y a t-il une possibilité de visualiser automatiquement la liste des @IP
bannies ? (sur une page web par exemple, ou sous un autre format).

2°/ Voici ce que me renvoie la commande:

# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
fail2ban-ssh tcp -- anywhere anywhere multiport
dports ssh
fail2ban-postfix tcp -- anywhere anywhere
multiport dports smtp,ssmtp

Chain FORWARD (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

Chain fail2ban-postfix (1 references)
target prot opt source destination
RETURN all -- anywhere anywhere

Chain fail2ban-ssh (1 references)
target prot opt source destination
DROP all -- 99.198.122.105 anywhere
DROP all -- 204.110.14.17 anywhere
DROP all -- 247.112.140.187.ds.sparkstation.net anywhere

DROP all -- 58-242-115-208.static.reverse.lstn.net
anywhere
DROP all -- ip-72-167-47-28.ip.secureserver.net anywhere

DROP all -- essen242.server4you.de anywhere
DROP all -- 66.11.123.195 anywhere
DROP all -- truster-0.webhosting4.net anywhere
RETURN all -- anywhere anywhere

J'avoue ne pas savoir quoi penser dernières lignes DROP ?
D'après les infos que j'ai trouvées sur le NET cela ne semble pas trè=
s
normal.

Merci d'avance pour vos lumières ;-)

--0016360e3dd8984289049cefd45d
Content-Type: text/html; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable

Bonsoir,<br><br>J&#39;ai deux questions à propos de fail2ban qui tourne a=
ctuellement sur ma machine.<br><br>1°/ J&#39;ai configuré fail2ban pour=
qu&#39;il m&#39;envoie un mail pour chaque adresse bannie.<br>Je reçois =
entre 5 et 10 mails par jour que je classe dans un répertoire de ma boî=
te mail.<br>

Comme ça fait plusieurs mois que ça dure, j&#39;ai plusieurs centaines =
d&#39;@ IP bannies.<br><br>Y a t-il une possibilité de visualiser automat=
iquement la liste des @IP bannies ? (sur une page web par exemple, ou sous =
un autre format).<br>

<br>2°/ Voici ce que me renvoie la commande:<br><br># iptables -L<br>Chai=
n INPUT (policy ACCEPT)<br>target     prot opt source    =
           destination         <br>fail=
2ban-ssh  tcp  --  anywhere             anywh=
ere            multiport dports ssh <br>

fail2ban-postfix  tcp  --  anywhere           =
  anywhere            multiport dports smtp,ssmtp <=
br><br>Chain FORWARD (policy ACCEPT)<br>target     prot opt source=
               destination       =
  <br><br>Chain OUTPUT (policy ACCEPT)<br>

target     prot opt source             =
  destination         <br><br>Chain fail2ban-postfix (1 r=
eferences)<br>target     prot opt source         =
      destination         <br>RETURN     =
all  --  anywhere             anywhere   =
         <br>

<br>Chain fail2ban-ssh (1 references)<br>target     prot opt source=
               destination       =
  <br>DROP       all  --  99.198.122.105     =
  anywhere            <br>DROP       al=
l  --  204.110.14.17        anywhere       =
     <br>

DROP       all  --  <a href="http://247.112.140.187.ds.sp=
arkstation.net" target="_blank">247.112.140.187.ds.sparkstation.net</a>=
  anywhere            <br>DROP       al=
l  --  <a href="http://58-242-115-208.static.reverse.lstn.net" target=
="_blank">58-242-115-208.static.reverse.lstn.net</a>  anywhere   =
         <br>

DROP       all  --  <a href="http://ip-72-167-47-28.ip.se=
cureserver.net" target="_blank">ip-72-167-47-28.ip.secureserver.net</a>=
  anywhere            <br>DROP       al=
l  --  <a href="http://essen242.server4you.de" target="_blank">esse=
n242.server4you.de</a>  anywhere            <br>

DROP       all  --  66.11.123.195        anyw=
here            <br>DROP       all  --=
  <a href="http://truster-0.webhosting4.net" target="_blank">truster-=
0.webhosting4.net</a>  anywhere            <br>RETU=
RN     all  --  anywhere             an=
ywhere<br>
<br>J&#39;avoue ne pas savoir quoi penser dernières lignes DROP ?<br>D&#3=
9;après les infos que j&#39;ai trouvées sur le NET cela ne semble pas t=
rès normal.<br><br>Merci d&#39;avance pour vos lumières ;-)<br>

--0016360e3dd8984289049cefd45d--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/AANLkTimy1ErxaL6p8Z+7WF-rHWHe0Nmn56QYwAf1Y2B1@mail.gmail.com
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Thibaut Chèze
Le #23151821
This is an OpenPGP/MIME signed message (RFC 2440 and 3156)
--------------enig0ACFF1E6E6797901BCC572C0
Content-Type: multipart/alternative;
boundary="------------020505000206050802050005"

This is a multi-part message in MIME format.
--------------020505000206050802050005
Content-Type: text/plain; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable

Bonsoir,

J'ai deux questions à propos de fail2ban qui tourne actuellement sur
ma machine.

1°/ J'ai configuré fail2ban pour qu'il m'envoie un mail pour chaque
adresse bannie.
Je reçois entre 5 et 10 mails par jour que je classe dans un
répertoire de ma boîte mail.
Comme ça fait plusieurs mois que ça dure, j'ai plusieurs centaines d'@
IP bannies.

Y a t-il une possibilité de visualiser automatiquement la liste des
@IP bannies ? (sur une page web par exemple, ou sous un autre format).


Pas de frontal à ma connaissance, mais coder une page web à partir de la
commande que vous indiquez ci-après n'est pas très difficile (si c'es t
vraiment ce que vous souhaitez avoir...). Il doit surement y avoir
différentes petites astuces sur le net.

Par contre, fail2ban banni effectivement des IP, mais pour une durée
définie dans la conf (10min par défaut si je me souviens bien, 1h, 1j ,
... cf "bantime"), parceque sinon... le parcours des tables pour chaque
paquet IP provoquerait une baisse de performance de votre réseaux au fu r
et a mesure que le temps passe (sans compter les risques de DoS, la
réduction de la ram disponible, ...).

2°/ Voici ce que me renvoie la commande:

# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
fail2ban-ssh tcp -- anywhere anywhere
multiport dports ssh
fail2ban-postfix tcp -- anywhere anywhere
multiport dports smtp,ssmtp

Chain FORWARD (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

Chain fail2ban-postfix (1 references)
target prot opt source destination
RETURN all -- anywhere anywhere

Chain fail2ban-ssh (1 references)
target prot opt source destination
DROP all -- 99.198.122.105 anywhere
DROP all -- 204.110.14.17 anywhere
DROP all -- 247.112.140.187.ds.sparkstation.net
DROP all -- 58-242-115-208.static.reverse.lstn.net
DROP all -- ip-72-167-47-28.ip.secureserver.net
DROP all -- essen242.server4you.de
DROP all -- 66.11.123.195 anywhere
DROP all -- truster-0.webhosting4.net
RETURN all -- anywhere anywhere

J'avoue ne pas savoir quoi penser dernières lignes DROP ?
D'après les infos que j'ai trouvées sur le NET cela ne semble pas t rès
normal.



La chaine fail2ban-ssh contient les IP bannies par fail2ban pour le
service ssh (par analyse des log). Les autres chaines commencant par
"fail2ban-" aussi, pour d'autres service, dans votre cas, votre serveur
mail Postfix. Les entrées que vous voyez, sont celles qui on été ba nnies
suite à des tentatives d'accès infructueuses à ssh, et seront suppr imées
une fois la durée du bannissement de chacune d'entre elles atteinte ou
un redémarrage de fail2ban. D'ailleurs, cette liste à surement changé e
depuis le temps... Mais tout est parfaitement normal, vous n'êtes pas
très sollicité...

Pour en apprendre plus, aller lire la documentation est la meilleure
solution : http://doc.ubuntu-fr.org/fail2ban et
http://www.fail2ban.org/wiki/index.php/FAQ_french pour des documentation
en français, et surtout l'originale dans la langue de Shakespeare
: http://www.fail2ban.org/wiki/index.php/Main_Page

Un dernier point, si les mails vous sont inutiles, ou peu utiles, vous
devriez envisagez de les désactiver, vous économiseriez ainsi des
ressources sur les différentes machines qui manipules vos mails, de
l'espace disque, de l'énergie, et surement d'autres choses encore...

Thibaut

--------------020505000206050802050005
Content-Type: text/html; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable

<html>
<head>
<meta content="text/html; charset=ISO-8859-1"
http-equiv="Content-Type">
</head>
<body bgcolor="#ffffff" text="#000000">
Bonsoir,<br>
<br>
<blockquote
cite="mid:AANLkTimy1ErxaL6p8Z+ l.com"
type="cite">J'ai deux questions &agrave; propos de fail2ban qui t ourne
actuellement sur ma machine.<br>
<br>
1&deg;/ J'ai configur&eacute; fail2ban pour qu'il m'envoie un mail pour
chaque adresse bannie.<br>
Je re&ccedil;ois entre 5 et 10 mails par jour que je classe dans un
r&eacute;pertoire de ma bo&icirc;te mail.<br>
Comme &ccedil;a fait plusieurs mois que &ccedil;a dure, j'ai plusie urs centaines
d'@ IP bannies.<br>
<br>
Y a t-il une possibilit&eacute; de visualiser automatiquement la li ste
des @IP bannies ? (sur une page web par exemple, ou sous un autre
format).<br>
</blockquote>
Pas de frontal &agrave; ma connaissance, mais coder une page web &agr ave; partir
de la commande que vous indiquez ci-apr&egrave;s n'est pas tr&egrave; s difficile
(si c'est vraiment ce que vous souhaitez avoir...). Il doit surement
y avoir diff&eacute;rentes petites astuces sur le net.<br>
<br>
Par contre, fail2ban banni effectivement des IP, mais pour une dur&ea cute;e
d&eacute;finie dans la conf (10min par d&eacute;faut si je me souvien s bien, 1h,
1j, ... cf "bantime"), parceque sinon... le parcours des tables pour
chaque paquet IP provoquerait une baisse de performance de votre
r&eacute;seaux au fur et a mesure que le temps passe (sans compter le s
risques de DoS, la r&eacute;duction de la ram disponible, ...).<br>
<blockquote
cite="mid:AANLkTimy1ErxaL6p8Z+ l.com"
type="cite">
<br>
2&deg;/ Voici ce que me renvoie la commande:<br>
<br>
# iptables -L<br>
Chain INPUT (policy ACCEPT)<br>
target&nbsp;&nbsp;&nbsp;&nbsp; prot opt source&nbsp;&nbsp;&nbsp;&nb sp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; destinati on&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; <br>
fail2ban-ssh&nbsp; tcp&nbsp; --&nbsp; anywhere&nbsp;&nbsp;&nbsp;&nb sp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; anywhere&nbsp;&nbsp;& nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;
multiport dports ssh <br>
fail2ban-postfix&nbsp; tcp&nbsp; --&nbsp; anywhere&nbsp;&nbsp;&nbsp ;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;
anywhere&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp ;&nbsp; multiport dports smtp,ssmtp <br>
<br>
Chain FORWARD (policy ACCEPT)<br>
target&nbsp;&nbsp;&nbsp;&nbsp; prot opt source&nbsp;&nbsp;&nbsp;&nb sp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; destinati on&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; <br>
<br>
Chain OUTPUT (policy ACCEPT)<br>
target&nbsp;&nbsp;&nbsp;&nbsp; prot opt source&nbsp;&nbsp;&nbsp;&nb sp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; destinati on&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; <br>
<br>
Chain fail2ban-postfix (1 references)<br>
target&nbsp;&nbsp;&nbsp;&nbsp; prot opt source&nbsp;&nbsp;&nbsp;&nb sp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; destinati on&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; <br>
RETURN&nbsp;&nbsp;&nbsp;&nbsp; all&nbsp; --&nbsp; anywhere&nbsp;&nb sp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; anywhere& nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; <br>
<br>
Chain fail2ban-ssh (1 references)<br>
target&nbsp;&nbsp;&nbsp;&nbsp; prot opt source&nbsp;&nbsp;&nbsp;&nb sp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; destinati on&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; <br>
DROP&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; all&nbsp; --&nbsp; 99.198. 122.105&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; anywhere&nbsp;&nbsp;&nbsp;&nb sp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; <br>
DROP&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; all&nbsp; --&nbsp; 204.110 .14.17&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; anywhere&nbsp;&nbsp;&n bsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; <br>
DROP&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; all&nbsp; --&nbsp; <a moz- do-not-send="true"
href="http://247.112.140.187.ds.sparkstation.net"
target="_blank">247.112.140.187.ds.sparkstation.net</a>&nbsp;
anywhere&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp ;&nbsp; <br>
DROP&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; all&nbsp; --&nbsp; <a moz- do-not-send="true"
href="http://58-242-115-208.static.reverse.lstn.net"
target="_blank">58-242-115-208.static.reverse.lstn.net</a>&nbsp ;
anywhere&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp ;&nbsp; <br>
DROP&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; all&nbsp; --&nbsp; <a moz- do-not-send="true"
href="http://ip-72-167-47-28.ip.secureserver.net"
target="_blank">ip-72-167-47-28.ip.secureserver.net</a>&nbsp;
anywhere&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp ;&nbsp; <br>
DROP&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; all&nbsp; --&nbsp; <a moz- do-not-send="true"
href="http://essen242.server4you.de" target="_blank">essen242 .server4you.de</a>&nbsp;
anywhere&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp ;&nbsp; <br>
DROP&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; all&nbsp; --&nbsp; 66.11.1 23.195&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; anywhere&nbsp;&nbsp;&nbs p;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; <br>
DROP&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; all&nbsp; --&nbsp; <a moz- do-not-send="true"
href="http://truster-0.webhosting4.net" target="_blank">trust er-0.webhosting4.net</a>&nbsp;
anywhere&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp ;&nbsp; <br>
RETURN&nbsp;&nbsp;&nbsp;&nbsp; all&nbsp; --&nbsp; anywhere&nbsp;&nb sp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; anywhere< br>
<br>
J'avoue ne pas savoir quoi penser derni&egrave;res lignes DROP ?<br >
D'apr&egrave;s les infos que j'ai trouv&eacute;es sur le NET cela n e semble pas
tr&egrave;s normal.<br>
<br>
</blockquote>
La chaine fail2ban-ssh contient les IP bannies par fail2ban pour le
service ssh (par analyse des log). Les autres chaines commencant par
"fail2ban-" aussi, pour d'autres service, dans votre cas, votre
serveur mail Postfix. Les entr&eacute;es que vous voyez, sont celles qui on
&eacute;t&eacute; bannies suite &agrave; des tentatives d'acc&egrave; s infructueuses &agrave; ssh, et
seront supprim&eacute;es une fois la dur&eacute;e du bannissement de chacune
d'entre elles atteinte ou un red&eacute;marrage de fail2ban. D'ailleu rs,
cette liste &agrave; surement chang&eacute;e depuis le temps... Mais tout est
parfaitement normal, vous n'&ecirc;tes pas tr&egrave;s sollicit&eacut e;...<br>
<br>
Pour en apprendre plus, aller lire la documentation est la meilleure
solution : et pour des documentation en fran&ccedil;ais, et surtout l'originale dan s la
langue de Shakespeare :&nbsp;<a
href="http://www.fail2ban.org/wiki/index.php/Main_Page">http://ww w.fail2ban.org/wiki/index.php/Main_Page</a><br>
<br>
Un dernier point, si les mails vous sont inutiles, ou peu utiles,
vous devriez envisagez de les d&eacute;sactiver, vous &eacute;conomis eriez ainsi
des ressources sur les diff&eacute;rentes machines qui manipules vos mails,
de l'espace disque, de l'&eacute;nergie, et surement d'autres choses
encore... <br>
<br>
Thibaut<br>
</body>
</html>

--------------020505000206050802050005--

--------------enig0ACFF1E6E6797901BCC572C0
Content-Type: application/pgp-signature; name="signature.asc"
Content-Description: OpenPGP digital signature
Content-Disposition: attachment; filename="signature.asc"

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.10 (MingW32)

iEYEARECAAYFAk1lhREACgkQLQe0eoqzCa2fUQCdHOvBc2jDAGFAUe68Zl0iX3sO
UTgAoMDo7IpEOL9ApekUHRmsP4Du4dAy
=u2w2
-----END PGP SIGNATURE-----

--------------enig0ACFF1E6E6797901BCC572C0--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Luxpopuli Open source
Le #23152791
--0016363b8520c8bcfa049d04347e
Content-Type: text/plain; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable

Merci bien Thibaut.

Effectivement, la chaine fail2ban-ssh a changé depuis et la cible DROP
correspond en effet aux sources bannies.
Je ne sais pas si je suis ou non très sollicité, mais j'avoue que depui s que
j'ai installé fail2ban il y a quelques mois déjà j'ai pris conscience que
les attaques ne sont quand même pas le fait de quelques individus isolé s.
J'ai l'impression qu'il y a pas mal de types qui passent leur journées à
essayer de pénétrer des systèmes.

Cordialement,

Le 23 février 2011 23:07, Thibaut Chèze <
a écrit :

Bonsoir,

J'ai deux questions à propos de fail2ban qui tourne actuellement sur ma
machine.

1°/ J'ai configuré fail2ban pour qu'il m'envoie un mail pour chaque a dresse
bannie.
Je reçois entre 5 et 10 mails par jour que je classe dans un répertoi re de
ma boîte mail.
Comme ça fait plusieurs mois que ça dure, j'ai plusieurs centaines d' @ IP
bannies.

Y a t-il une possibilité de visualiser automatiquement la liste des @IP
bannies ? (sur une page web par exemple, ou sous un autre format).

Pas de frontal à ma connaissance, mais coder une page web à partir de la
commande que vous indiquez ci-après n'est pas très difficile (si c'es t
vraiment ce que vous souhaitez avoir...). Il doit surement y avoir
différentes petites astuces sur le net.

Par contre, fail2ban banni effectivement des IP, mais pour une durée
définie dans la conf (10min par défaut si je me souviens bien, 1h, 1j , ...
cf "bantime"), parceque sinon... le parcours des tables pour chaque paque t
IP provoquerait une baisse de performance de votre réseaux au fur et a
mesure que le temps passe (sans compter les risques de DoS, la réductio n de
la ram disponible, ...).


2°/ Voici ce que me renvoie la commande:

# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
fail2ban-ssh tcp -- anywhere anywhere multiport
dports ssh
fail2ban-postfix tcp -- anywhere anywhere
multiport dports smtp,ssmtp

Chain FORWARD (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

Chain fail2ban-postfix (1 references)
target prot opt source destination
RETURN all -- anywhere anywhere

Chain fail2ban-ssh (1 references)
target prot opt source destination
DROP all -- 99.198.122.105 anywhere
DROP all -- 204.110.14.17 anywhere
DROP all -- 247.112.140.187.ds.sparkstation.net
anywhere
DROP all -- 58-242-115-208.static.reverse.lstn.net
anywhere
DROP all -- ip-72-167-47-28.ip.secureserver.net
anywhere
DROP all -- essen242.server4you.de anywhere
DROP all -- 66.11.123.195 anywhere
DROP all -- truster-0.webhosting4.net anywhere
RETURN all -- anywhere anywhere

J'avoue ne pas savoir quoi penser dernières lignes DROP ?
D'après les infos que j'ai trouvées sur le NET cela ne semble pas tr ès
normal.

La chaine fail2ban-ssh contient les IP bannies par fail2ban pour le
service ssh (par analyse des log). Les autres chaines commencant par
"fail2ban-" aussi, pour d'autres service, dans votre cas, votre serveur m ail
Postfix. Les entrées que vous voyez, sont celles qui on été bannies suite à
des tentatives d'accès infructueuses à ssh, et seront supprimées un e fois la
durée du bannissement de chacune d'entre elles atteinte ou un redémar rage de
fail2ban. D'ailleurs, cette liste à surement changée depuis le temps. .. Mais
tout est parfaitement normal, vous n'êtes pas très sollicité...

Pour en apprendre plus, aller lire la documentation est la meilleure
solution : http://doc.ubuntu-fr.org/fail2ban et
http://www.fail2ban.org/wiki/index.php/FAQ_french pour des documentation
en français, et surtout l'originale dans la langue de Shakespeare :
http://www.fail2ban.org/wiki/index.php/Main_Page

Un dernier point, si les mails vous sont inutiles, ou peu utiles, vous
devriez envisagez de les désactiver, vous économiseriez ainsi des res sources
sur les différentes machines qui manipules vos mails, de l'espace disqu e, de
l'énergie, et surement d'autres choses encore...

Thibaut




--0016363b8520c8bcfa049d04347e
Content-Type: text/html; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable

Merci bien Thibaut. J&#39;ai l&#39;impression qu&#39;il y a pas mal de types qui passent leur j ournées à essayer de pénétrer des systèmes.



<div bgcolor="#ffffff" text="#000000"><div class="im">
Bonsoir,<br>
<br>
<blockquote type="cite">J&#39;ai deux questions à propos de fail2ba n qui tourne
actuellement sur ma machine.<br>
<br>
1°/ J&#39;ai configuré fail2ban pour qu&#39;il m&#39;envoie un ma il pour
chaque adresse bannie.<br>
Je reçois entre 5 et 10 mails par jour que je classe dans un
répertoire de ma boîte mail.<br>
Comme ça fait plusieurs mois que ça dure, j&#39;ai plusieurs cent aines
d&#39;@ IP bannies.<br>
<br>
Y a t-il une possibilité de visualiser automatiquement la liste
des @IP bannies ? (sur une page web par exemple, ou sous un autre
format).<br>
</blockquote></div>
Pas de frontal à ma connaissance, mais coder une page web à partir
de la commande que vous indiquez ci-après n&#39;est pas très diffic ile
(si c&#39;est vraiment ce que vous souhaitez avoir...). Il doit suremen t
y avoir différentes petites astuces sur le net.<br>
<br>
Par contre, fail2ban banni effectivement des IP, mais pour une durée
définie dans la conf (10min par défaut si je me souviens bien, 1h,
1j, ... cf &quot;bantime&quot;), parceque sinon... le parcours des tabl es pour
chaque paquet IP provoquerait une baisse de performance de votre
réseaux au fur et a mesure que le temps passe (sans compter les
risques de DoS, la réduction de la ram disponible, ...).<div><div></d iv><div class="h5"><br>
<blockquote type="cite">
<br>
2°/ Voici ce que me renvoie la commande:<br>
<br>
# iptables -L<br>
Chain INPUT (policy ACCEPT)<br>
target     prot opt source                destination         <br>
fail2ban-ssh  tcp  --  anywhere              anywhere           
multiport dports ssh <br>
fail2ban-postfix  tcp  --  anywhere             
anywhere            multiport dports smtp,ssmtp <br>
<br>
Chain FORWARD (policy ACCEPT)<br>
target     prot opt source                destination         <br>
<br>
Chain OUTPUT (policy ACCEPT)<br>
target     prot opt source                destination         <br>
<br>
Chain fail2ban-postfix (1 references)<br>
target     prot opt source                destination         <br>
RETURN     all  --  anywhere              anywhere            <br>
<br>
Chain fail2ban-ssh (1 references)<br>
target     prot opt source                destination         <br>
DROP       all  --  99.198.122.105       anywhere            <br>
DROP       all  --  204.110.14.17         anywhere            <br>
DROP       all  --  anywhere            <br>
DROP       all  --  anywhere            <br>
DROP       all  --  anywhere            <br>
DROP       all  --  anywhere            <br>
DROP       all  --  66.11.123.195         anywhere            <br>
DROP       all  --  anywhere            <br>
RETURN     all  --  anywhere              anywhere<br>
<br>
J&#39;avoue ne pas savoir quoi penser dernières lignes DROP ?<br>
D&#39;après les infos que j&#39;ai trouvées sur le NET cela ne se mble pas
très normal.<br>
<br>
</blockquote></div></div>
La chaine fail2ban-ssh contient les IP bannies par fail2ban pour le
service ssh (par analyse des log). Les autres chaines commencant par
&quot;fail2ban-&quot; aussi, pour d&#39;autres service, dans votre cas, votre
serveur mail Postfix. Les entrées que vous voyez, sont celles qui on
été bannies suite à des tentatives d&#39;accès infructueuses à ssh, et
seront supprimées une fois la durée du bannissement de chacune
d&#39;entre elles atteinte ou un redémarrage de fail2ban. D&#39;aille urs,
cette liste à surement changée depuis le temps... Mais tout est
parfaitement normal, vous n&#39;êtes pas très sollicité...<br>
<br>
Pour en apprendre plus, aller lire la documentation est la meilleure
solution : et pour des documentation en français, et surtout l&#39;originale dans l a
langue de Shakespeare :  <br>
Un dernier point, si les mails vous sont inutiles, ou peu utiles,
vous devriez envisagez de les désactiver, vous économiseriez ainsi
des ressources sur les différentes machines qui manipules vos mails,
de l&#39;espace disque, de l&#39;énergie, et surement d&#39;autres ch oses
encore... <br>
<br>
Thibaut<br>
</div>

</blockquote></div><br>

--0016363b8520c8bcfa049d04347e--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/AANLkTimOCmhorvt72t5+F-+fSATGsL_jcZrK=
Publicité
Poster une réponse
Anonyme