fail2ban

42 réponses
Avatar
BERTRAND Joël
Bonsoir à tous,

J'ai un truc un peu bizarre avec fail2ban 0.9.1 que j'ai installé sur
un serveur. J'ai patché l'outil pour qu'il traite aussi les IPv6
(https://tetsumaki.net/blog/article/2014-03-04-ajout-du-support-ipv6-sur-fail2ban.html).

J'observe un comportement étrange sans savoir si ce comportement est
provoqué par le patch IPv6 (mais il n'a rien de complexe) ou si c'est dû
à l'augmentation ces derniers jours des attaques. En effet, j'ai un /29
et je subis actuellement en IPv4 des attaques sur toutes les IP à un
rythme soutenu.

ip(6)tables -L renvoient :
... (mes règles habituelles)
Chain f2b-apache-auth (3 references)
target prot opt source destination
RETURN all -- anywhere anywhere
RETURN all -- anywhere anywhere
RETURN all -- anywhere anywhere

Chain f2b-courier-auth (3 references)
target prot opt source destination
RETURN all -- anywhere anywhere
RETURN all -- anywhere anywhere
RETURN all -- anywhere anywhere

Chain f2b-ejabberd-auth (3 references)
target prot opt source destination
RETURN all -- anywhere anywhere
RETURN all -- anywhere anywhere
RETURN all -- anywhere anywhere


Il m'arrive d'avoir une centaine de RETURN au bout d'une journée. Je
relance fail2ban et ça fonctionne jusqu'à la prochaine fois.

Suis-je le seul à observer cela ?

Cordialement,

JKB

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: https://lists.debian.org/54B6E498.4050001@systella.fr

10 réponses

1 2 3 4 5
Avatar
Philippe Gras
Je crois que le RETURN, ça veut seulement dire que la règle subit un
transfert.

De fait si j'ai bien compris, elle est passée par iptables à fail2ban
qui va prendre

la main dessus et la passer au tamis, puis la retourner à iptables
avec les IP qu'il

faut bannir.

Le 14 janv. 15 à 22:50, BERTRAND Joël a écrit :

Bonsoir à tous,

J'ai un truc un peu bizarre avec fail2ban 0.9.1 que j'ai installé
sur un serveur. J'ai patché l'outil pour qu'il traite aussi les
IPv6 (https://tetsumaki.net/blog/article/2014-03-04-ajout-du-
support-ipv6-sur-fail2ban.html).

J'observe un comportement étrange sans savoir si ce comportement
est provoqué par le patch IPv6 (mais il n'a rien de complexe) ou si
c'est dû à l'augmentation ces derniers jours des attaques. En
effet, j'ai un /29 et je subis actuellement en IPv4 des attaques
sur toutes les IP à un rythme soutenu.

ip(6)tables -L renvoient :
... (mes règles habituelles)
Chain f2b-apache-auth (3 references)
target prot opt source destination
RETURN all -- anywhere anywhere
RETURN all -- anywhere anywhere
RETURN all -- anywhere anywhere

Chain f2b-courier-auth (3 references)
target prot opt source destination
RETURN all -- anywhere anywhere
RETURN all -- anywhere anywhere
RETURN all -- anywhere anywhere

Chain f2b-ejabberd-auth (3 references)
target prot opt source destination
RETURN all -- anywhere anywhere
RETURN all -- anywhere anywhere
RETURN all -- anywhere anywhere


Il m'arrive d'avoir une centaine de RETURN au bout d'une journée.
Je relance fail2ban et ça fonctionne jusqu'à la prochaine fois.

Suis-je le seul à observer cela ?

Cordialement,

JKB

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet
"unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: https://lists.debian.org/




--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: https://lists.debian.org/
Avatar
BERTRAND Joël
Philippe Gras wrote:
Je crois que le RETURN, ça veut seulement dire que la règle subit un
transfert.

De fait si j'ai bien compris, elle est passée par iptables à fail2ban
qui va prendre

la main dessus et la passer au tamis, puis la retourner à iptables avec
les IP qu'il

faut bannir.




Ça, je sais. Ce qui m'étonne, ce n'est pas qu'il y ait un RETURN sur
chacune des nouvelles cibles ajoutées par fail2ban, mais qu'il y ait
plusieurs RETURN par cible et que ce nombre va en croissant au fil du
temps...

Cordialement,

JKB

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: https://lists.debian.org/
Avatar
BERTRAND Joël
Philippe Gras wrote:

Le 14 janv. 15 à 23:22, BERTRAND Joël a écrit :

Philippe Gras wrote:
Je crois que le RETURN, ça veut seulement dire que la règle subit un
transfert.

De fait si j'ai bien compris, elle est passée par iptables à fail2ban
qui va prendre

la main dessus et la passer au tamis, puis la retourner à iptables avec
les IP qu'il

faut bannir.




Ça, je sais. Ce qui m'étonne, ce n'est pas qu'il y ait un RETURN
sur chacune des nouvelles cibles ajoutées par fail2ban, mais qu'il y
ait plusieurs RETURN par cible et que ce nombre va en croissant au fil
du temps...



Tu as 3 références à chaque règle ou ça augmente ? Si ça augmente, c'est
x 3 ?



Non, j'ai plutôt l'impression que c'est un par un. Mais en dehors de la
règle 'recidive' toutes augmentent en même temps et comportent le même
nombre de RETURN.

Cordialement,

JKB

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: https://lists.debian.org/
Avatar
Philippe Gras
Le 14 janv. 15 à 23:22, BERTRAND Joël a écrit :

Philippe Gras wrote:
Je crois que le RETURN, ça veut seulement dire que la règle subit un
transfert.

De fait si j'ai bien compris, elle est passée par iptables à fail2ban
qui va prendre

la main dessus et la passer au tamis, puis la retourner à iptables
avec
les IP qu'il

faut bannir.




Ça, je sais. Ce qui m'étonne, ce n'est pas qu'il y ait un RETURN
sur chacune des nouvelles cibles ajoutées par fail2ban, mais qu'il
y ait plusieurs RETURN par cible et que ce nombre va en croissant
au fil du temps...



Tu as 3 références à chaque règle ou ça augmente ? Si ça augmente,
c'est x 3 ?


Cordialement,

JKB

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet
"unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: https://lists.debian.org/




--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: https://lists.debian.org/
Avatar
Philippe Gras
Le 14 janv. 15 à 23:35, BERTRAND Joël a écrit :

Philippe Gras wrote:

Le 14 janv. 15 à 23:22, BERTRAND Joël a écrit :

Philippe Gras wrote:
Je crois que le RETURN, ça veut seulement dire que la règle
subit un
transfert.

De fait si j'ai bien compris, elle est passée par iptables à
fail2ban
qui va prendre

la main dessus et la passer au tamis, puis la retourner à
iptables avec
les IP qu'il

faut bannir.




Ça, je sais. Ce qui m'étonne, ce n'est pas qu'il y ait un RETURN
sur chacune des nouvelles cibles ajoutées par fail2ban, mais qu'il y
ait plusieurs RETURN par cible et que ce nombre va en croissant
au fil
du temps...



Tu as 3 références à chaque règle ou ça augmente ? Si ça augmente,
c'est
x 3 ?



Non, j'ai plutôt l'impression que c'est un par un. Mais en dehors
de la règle 'recidive' toutes augmentent en même temps et
comportent le même nombre de RETURN.



Rien compris ! Quand j'observe tes extraits :
Chain f2b-apache-auth (3 references)
target prot opt source destination
RETURN all -- anywhere anywhere
RETURN all -- anywhere anywhere
RETURN all -- anywhere anywhere

C'est par 3, toujours par 3. Ce qui peut sembler logique vu qu'il y a
3 fichiers à patcher.

Tu pourrais jeter un coup d'œil à l'intérieur pour voir s'ils ne
retournent pas chacun une

instruction similaire, pas vrai ?

Cordialement,

JKB

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet
"unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: https://lists.debian.org/




--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: https://lists.debian.org/
Avatar
Christophe
Bonsoir,

On va encore dire que ça ne répond pas au besoin de l'OP , mais :

Le 14/01/2015 22:50, BERTRAND Joël a écrit :
Bonsoir à tous,

J'ai un truc un peu bizarre avec fail2ban 0.9.1 que j'ai installà ©
sur un serveur. J'ai patché l'outil pour qu'il traite aussi les IP v6
(https://tetsumaki.net/blog/article/2014-03-04-ajout-du-support-ipv6-su r-fail2ban.html).



Je m'étais tenté à ça, il y a quelques mois/anné es, sans aucun succès
(en particulier ce qui concerne IPv6) .

Depuis j'utilise sshguard ...

@+
Christophe.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: https://lists.debian.org/
Avatar
BERTRAND Joël
Philippe Gras wrote:

Le 14 janv. 15 à 23:35, BERTRAND Joël a écrit :

Philippe Gras wrote:

Le 14 janv. 15 à 23:22, BERTRAND Joël a écrit :

Philippe Gras wrote:
Je crois que le RETURN, ça veut seulement dire que la règle subit un
transfert.

De fait si j'ai bien compris, elle est passée par iptables à fail2ban
qui va prendre

la main dessus et la passer au tamis, puis la retourner à iptables
avec
les IP qu'il

faut bannir.




Ça, je sais. Ce qui m'étonne, ce n'est pas qu'il y ait un RETURN
sur chacune des nouvelles cibles ajoutées par fail2ban, mais qu'il y
ait plusieurs RETURN par cible et que ce nombre va en croissant au fil
du temps...



Tu as 3 références à chaque règle ou ça augmente ? Si ça augmente, c'est
x 3 ?



Non, j'ai plutôt l'impression que c'est un par un. Mais en dehors
de la règle 'recidive' toutes augmentent en même temps et comportent
le même nombre de RETURN.



Rien compris ! Quand j'observe tes extraits :
Chain f2b-apache-auth (3 references)
target prot opt source destination
RETURN all -- anywhere anywhere
RETURN all -- anywhere anywhere
RETURN all -- anywhere anywhere

C'est par 3, toujours par 3. Ce qui peut sembler logique vu qu'il y a 3
fichiers à patcher.

Tu pourrais jeter un coup d'œil à l'intérieur pour voir s'ils ne
retournent pas chacun une



On s'est mal compris. En ce moment, j'ai trois lignes RETURN par cible.
Mais lorsque je lance fail2ban, je n'ai qu'un RETURN par cible. Et ce
soir, j'avais 49 RETURN par cible avant de relancer le service.

J'ai regardé les fichiers en question avant d'écrire ici et je ne vois
pas trop ce qui pourrait provoquer un tel comportement.

Cordialement,

JKB

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: https://lists.debian.org/
Avatar
Philippe Gras
Le 14 janv. 15 à 23:54, BERTRAND Joël a écrit :

Philippe Gras wrote:

Le 14 janv. 15 à 23:35, BERTRAND Joël a écrit :

Philippe Gras wrote:

Le 14 janv. 15 à 23:22, BERTRAND Joël a écrit :

Philippe Gras wrote:
Je crois que le RETURN, ça veut seulement dire que la règle
subit un
transfert.

De fait si j'ai bien compris, elle est passée par iptables à
fail2ban
qui va prendre

la main dessus et la passer au tamis, puis la retourner à
iptables
avec
les IP qu'il

faut bannir.




Ça, je sais. Ce qui m'étonne, ce n'est pas qu'il y ait un
RETURN
sur chacune des nouvelles cibles ajoutées par fail2ban, mais
qu'il y
ait plusieurs RETURN par cible et que ce nombre va en croissant
au fil
du temps...



Tu as 3 références à chaque règle ou ça augmente ? Si ça
augmente, c'est
x 3 ?



Non, j'ai plutôt l'impression que c'est un par un. Mais en
dehors
de la règle 'recidive' toutes augmentent en même temps et comportent
le même nombre de RETURN.



Rien compris ! Quand j'observe tes extraits :
Chain f2b-apache-auth (3 references)
target prot opt source destination
RETURN all -- anywhere anywhere
RETURN all -- anywhere anywhere
RETURN all -- anywhere anywhere

C'est par 3, toujours par 3. Ce qui peut sembler logique vu qu'il
y a 3
fichiers à patcher.

Tu pourrais jeter un coup d'œil à l'intérieur pour voir s'ils ne
retournent pas chacun une



On s'est mal compris. En ce moment, j'ai trois lignes RETURN par
cible. Mais lorsque je lance fail2ban, je n'ai qu'un RETURN par
cible. Et ce soir, j'avais 49 RETURN par cible avant de relancer le
service.



Ça veut dire que le patch te balance 1 RETURN par IP bannie, c'est ça ?

J'ai regardé les fichiers en question avant d'écrire ici et je ne
vois pas trop ce qui pourrait provoquer un tel comportement.



Sinon, tu peux regarder ça :
iptables -S | grep fail2ban et cat /var/log/fail2ban.log

Je me sers beaucoup du fichier de log en ce moment pour voir comment
f2b se comporte, car je l'ai installé récemment.

(offert à mon serveur pour Noël)


Cordialement,

JKB

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet
"unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: https://lists.debian.org/




--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: https://lists.debian.org/
Avatar
Philippe Gras

J'observe un comportement étrange sans savoir si ce comportement
est provoqué par le patch IPv6 (mais il n'a rien de complexe) ou si
c'est dû à l'augmentation ces derniers jours des attaques. En
effet, j'ai un /29 et je subis actuellement en IPv4 des attaques
sur toutes les IP à un rythme soutenu.



Ça a rapport avec ça ?
http://fr.reuters.com/article/topNews/idFRKBN0KO1NZ20150115

Je n'ai rien vu du tout, c'est bizarre ! Moi qui chope toutes les m…
d'habitude.

Suis-je le seul à observer cela ?

Cordialement,

JKB

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet
"unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: https://lists.debian.org/




--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: https://lists.debian.org/
Avatar
BERTRAND Joël
Philippe Gras a écrit :

J'observe un comportement étrange sans savoir si ce comportement
est provoqué par le patch IPv6 (mais il n'a rien de complexe) ou si
c'est dû à l'augmentation ces derniers jours des attaques. En effet,
j'ai un /29 et je subis actuellement en IPv4 des attaques sur toutes
les IP à un rythme soutenu.



Ça a rapport avec ça ?
http://fr.reuters.com/article/topNews/idFRKBN0KO1NZ20150115



Je ne sais pas. Je constate simplement...

Je n'ai rien vu du tout, c'est bizarre ! Moi qui chope toutes les m…
d'habitude.



Heureux homme.

JKB

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: https://lists.debian.org/
1 2 3 4 5