fail2ban

Bonsoir à tous,

J'ai un truc un peu bizarre avec fail2ban 0.9.1 que j'ai installé
sur un serveur. J'ai patché l'outil pour qu'il traite aussi les
IPv6 (https://tetsumaki.net/blog/article/2014-03-04-ajout-du-
support-ipv6-sur-fail2ban.html).

J'observe un comportement étrange sans savoir si ce comportement
est provoqué par le patch IPv6 (mais il n'a rien de complexe) ou si
c'est dû à l'augmentation ces derniers jours des attaques. En
effet, j'ai un /29 et je subis actuellement en IPv4 des attaques
sur toutes les IP à un rythme soutenu.

ip(6)tables -L renvoient :
... (mes règles habituelles)
Chain f2b-apache-auth (3 references)
target prot opt source destination
RETURN all -- anywhere anywhere
RETURN all -- anywhere anywhere
RETURN all -- anywhere anywhere

Chain f2b-courier-auth (3 references)
target prot opt source destination
RETURN all -- anywhere anywhere
RETURN all -- anywhere anywhere
RETURN all -- anywhere anywhere

Chain f2b-ejabberd-auth (3 references)
target prot opt source destination
RETURN all -- anywhere anywhere
RETURN all -- anywhere anywhere
RETURN all -- anywhere anywhere


Il m'arrive d'avoir une centaine de RETURN au bout d'une journée.
Je relance fail2ban et ça fonctionne jusqu'à la prochaine fois.

Suis-je le seul à observer cela ?

Cordialement,

JKB

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet
"unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: https://lists.debian.org/54B6E498.4050001@systella.fr

Je crois que le RETURN, ça veut seulement dire que la règle subit un
transfert.

De fait si j'ai bien compris, elle est passée par iptables à fail2ban
qui va prendre

la main dessus et la passer au tamis, puis la retourner à iptables avec
les IP qu'il

faut bannir.

Le 14 janv. 15 à 23:22, BERTRAND Joël a écrit :

Philippe Gras wrote:

Je crois que le RETURN, ça veut seulement dire que la règle subit un
transfert.

De fait si j'ai bien compris, elle est passée par iptables à fail2ban
qui va prendre

la main dessus et la passer au tamis, puis la retourner à iptables avec
les IP qu'il

faut bannir.

Ça, je sais. Ce qui m'étonne, ce n'est pas qu'il y ait un RETURN
sur chacune des nouvelles cibles ajoutées par fail2ban, mais qu'il y
ait plusieurs RETURN par cible et que ce nombre va en croissant au fil
du temps...

Tu as 3 références à chaque règle ou ça augmente ? Si ça augmente, c'est
x 3 ?

Philippe Gras wrote:

Je crois que le RETURN, ça veut seulement dire que la règle subit un
transfert.

De fait si j'ai bien compris, elle est passée par iptables à fail2ban
qui va prendre

la main dessus et la passer au tamis, puis la retourner à iptables
avec
les IP qu'il

faut bannir.

Ça, je sais. Ce qui m'étonne, ce n'est pas qu'il y ait un RETURN
sur chacune des nouvelles cibles ajoutées par fail2ban, mais qu'il
y ait plusieurs RETURN par cible et que ce nombre va en croissant
au fil du temps...

Cordialement,

JKB

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet
"unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: https://lists.debian.org/54B6EC0D.1020104@systella.fr

Philippe Gras wrote:

Le 14 janv. 15 à 23:22, BERTRAND Joël a écrit :

Philippe Gras wrote:

Je crois que le RETURN, ça veut seulement dire que la règle
subit un
transfert.

De fait si j'ai bien compris, elle est passée par iptables à
fail2ban
qui va prendre

la main dessus et la passer au tamis, puis la retourner à
iptables avec
les IP qu'il

faut bannir.

Ça, je sais. Ce qui m'étonne, ce n'est pas qu'il y ait un RETURN
sur chacune des nouvelles cibles ajoutées par fail2ban, mais qu'il y
ait plusieurs RETURN par cible et que ce nombre va en croissant
au fil
du temps...

Tu as 3 références à chaque règle ou ça augmente ? Si ça augmente,
c'est
x 3 ?

Non, j'ai plutôt l'impression que c'est un par un. Mais en dehors
de la règle 'recidive' toutes augmentent en même temps et
comportent le même nombre de RETURN.

Cordialement,

JKB

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet
"unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: https://lists.debian.org/54B6EF45.6090007@systella.fr

Bonsoir à tous,

J'ai un truc un peu bizarre avec fail2ban 0.9.1 que j'ai installà ©
sur un serveur. J'ai patché l'outil pour qu'il traite aussi les IP v6
(https://tetsumaki.net/blog/article/2014-03-04-ajout-du-support-ipv6-su r-fail2ban.html).

Le 14 janv. 15 à 23:35, BERTRAND Joël a écrit :

Philippe Gras wrote:

Le 14 janv. 15 à 23:22, BERTRAND Joël a écrit :

Philippe Gras wrote:

Je crois que le RETURN, ça veut seulement dire que la règle subit un
transfert.

De fait si j'ai bien compris, elle est passée par iptables à fail2ban
qui va prendre

la main dessus et la passer au tamis, puis la retourner à iptables
avec
les IP qu'il

faut bannir.

Ça, je sais. Ce qui m'étonne, ce n'est pas qu'il y ait un RETURN
sur chacune des nouvelles cibles ajoutées par fail2ban, mais qu'il y
ait plusieurs RETURN par cible et que ce nombre va en croissant au fil
du temps...

Tu as 3 références à chaque règle ou ça augmente ? Si ça augmente, c'est
x 3 ?

Non, j'ai plutôt l'impression que c'est un par un. Mais en dehors
de la règle 'recidive' toutes augmentent en même temps et comportent
le même nombre de RETURN.

Rien compris ! Quand j'observe tes extraits :
Chain f2b-apache-auth (3 references)
target prot opt source destination
RETURN all -- anywhere anywhere
RETURN all -- anywhere anywhere
RETURN all -- anywhere anywhere

C'est par 3, toujours par 3. Ce qui peut sembler logique vu qu'il y a 3
fichiers à patcher.

Tu pourrais jeter un coup d'œil à l'intérieur pour voir s'ils ne
retournent pas chacun une

Philippe Gras wrote:

Le 14 janv. 15 à 23:35, BERTRAND Joël a écrit :

Philippe Gras wrote:

Le 14 janv. 15 à 23:22, BERTRAND Joël a écrit :

Philippe Gras wrote:

Je crois que le RETURN, ça veut seulement dire que la règle
subit un
transfert.

De fait si j'ai bien compris, elle est passée par iptables à
fail2ban
qui va prendre

la main dessus et la passer au tamis, puis la retourner à
iptables
avec
les IP qu'il

faut bannir.

Ça, je sais. Ce qui m'étonne, ce n'est pas qu'il y ait un
RETURN
sur chacune des nouvelles cibles ajoutées par fail2ban, mais
qu'il y
ait plusieurs RETURN par cible et que ce nombre va en croissant
au fil
du temps...

Tu as 3 références à chaque règle ou ça augmente ? Si ça
augmente, c'est
x 3 ?

Non, j'ai plutôt l'impression que c'est un par un. Mais en
dehors
de la règle 'recidive' toutes augmentent en même temps et comportent
le même nombre de RETURN.

Rien compris ! Quand j'observe tes extraits :
Chain f2b-apache-auth (3 references)
target prot opt source destination
RETURN all -- anywhere anywhere
RETURN all -- anywhere anywhere
RETURN all -- anywhere anywhere

C'est par 3, toujours par 3. Ce qui peut sembler logique vu qu'il
y a 3
fichiers à patcher.

Tu pourrais jeter un coup d'œil à l'intérieur pour voir s'ils ne
retournent pas chacun une

On s'est mal compris. En ce moment, j'ai trois lignes RETURN par
cible. Mais lorsque je lance fail2ban, je n'ai qu'un RETURN par
cible. Et ce soir, j'avais 49 RETURN par cible avant de relancer le
service.

J'ai regardé les fichiers en question avant d'écrire ici et je ne
vois pas trop ce qui pourrait provoquer un tel comportement.

Cordialement,

JKB

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet
"unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: https://lists.debian.org/54B6F3AA.9070201@systella.fr

J'observe un comportement étrange sans savoir si ce comportement
est provoqué par le patch IPv6 (mais il n'a rien de complexe) ou si
c'est dû à l'augmentation ces derniers jours des attaques. En
effet, j'ai un /29 et je subis actuellement en IPv4 des attaques
sur toutes les IP à un rythme soutenu.

Suis-je le seul à observer cela ?

Cordialement,

JKB

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet
"unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: https://lists.debian.org/54B6E498.4050001@systella.fr

J'observe un comportement étrange sans savoir si ce comportement
est provoqué par le patch IPv6 (mais il n'a rien de complexe) ou si
c'est dû à l'augmentation ces derniers jours des attaques. En effet,
j'ai un /29 et je subis actuellement en IPv4 des attaques sur toutes
les IP à un rythme soutenu.

Ça a rapport avec ça ?
http://fr.reuters.com/article/topNews/idFRKBN0KO1NZ20150115

Je n'ai rien vu du tout, c'est bizarre ! Moi qui chope toutes les m…
d'habitude.