fail2ban
Le
BERTRAND Joël

Bonsoir à tous,
J'ai un truc un peu bizarre avec fail2ban 0.9.1 que j'ai installé sur
un serveur. J'ai patché l'outil pour qu'il traite aussi les IPv6
(https://tetsumaki.net/blog/article/2014-03-04-ajout-du-support-ipv6-sur-fail2ban.html).
J'observe un comportement étrange sans savoir si ce comportement est
provoqué par le patch IPv6 (mais il n'a rien de complexe) ou si c'est dû
à l'augmentation ces derniers jours des attaques. En effet, j'ai un /29
et je subis actuellement en IPv4 des attaques sur toutes les IP à un
rythme soutenu.
ip(6)tables -L renvoient :
(mes règles habituelles)
Chain f2b-apache-auth (3 references)
target prot opt source destination
RETURN all -- anywhere anywhere
RETURN all -- anywhere anywhere
RETURN all -- anywhere anywhere
Chain f2b-courier-auth (3 references)
target prot opt source destination
RETURN all -- anywhere anywhere
RETURN all -- anywhere anywhere
RETURN all -- anywhere anywhere
Chain f2b-ejabberd-auth (3 references)
target prot opt source destination
RETURN all -- anywhere anywhere
RETURN all -- anywhere anywhere
RETURN all -- anywhere anywhere
Il m'arrive d'avoir une centaine de RETURN au bout d'une journée. Je
relance fail2ban et ça fonctionne jusqu'à la prochaine fois.
Suis-je le seul à observer cela ?
Cordialement,
JKB
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: https://lists.debian.org/54B6E498.4050001@systella.fr
J'ai un truc un peu bizarre avec fail2ban 0.9.1 que j'ai installé sur
un serveur. J'ai patché l'outil pour qu'il traite aussi les IPv6
(https://tetsumaki.net/blog/article/2014-03-04-ajout-du-support-ipv6-sur-fail2ban.html).
J'observe un comportement étrange sans savoir si ce comportement est
provoqué par le patch IPv6 (mais il n'a rien de complexe) ou si c'est dû
à l'augmentation ces derniers jours des attaques. En effet, j'ai un /29
et je subis actuellement en IPv4 des attaques sur toutes les IP à un
rythme soutenu.
ip(6)tables -L renvoient :
(mes règles habituelles)
Chain f2b-apache-auth (3 references)
target prot opt source destination
RETURN all -- anywhere anywhere
RETURN all -- anywhere anywhere
RETURN all -- anywhere anywhere
Chain f2b-courier-auth (3 references)
target prot opt source destination
RETURN all -- anywhere anywhere
RETURN all -- anywhere anywhere
RETURN all -- anywhere anywhere
Chain f2b-ejabberd-auth (3 references)
target prot opt source destination
RETURN all -- anywhere anywhere
RETURN all -- anywhere anywhere
RETURN all -- anywhere anywhere
Il m'arrive d'avoir une centaine de RETURN au bout d'une journée. Je
relance fail2ban et ça fonctionne jusqu'à la prochaine fois.
Suis-je le seul à observer cela ?
Cordialement,
JKB
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: https://lists.debian.org/54B6E498.4050001@systella.fr
transfert.
De fait si j'ai bien compris, elle est passée par iptables à fail2ban
qui va prendre
la main dessus et la passer au tamis, puis la retourner à iptables
avec les IP qu'il
faut bannir.
Le 14 janv. 15 à 22:50, BERTRAND Joël a écrit :
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: https://lists.debian.org/
Ça, je sais. Ce qui m'étonne, ce n'est pas qu'il y ait un RETURN sur
chacune des nouvelles cibles ajoutées par fail2ban, mais qu'il y ait
plusieurs RETURN par cible et que ce nombre va en croissant au fil du
temps...
Cordialement,
JKB
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: https://lists.debian.org/
Non, j'ai plutôt l'impression que c'est un par un. Mais en dehors de la
règle 'recidive' toutes augmentent en même temps et comportent le même
nombre de RETURN.
Cordialement,
JKB
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: https://lists.debian.org/
Tu as 3 références à chaque règle ou ça augmente ? Si ça augmente,
c'est x 3 ?
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: https://lists.debian.org/
Rien compris ! Quand j'observe tes extraits :
Chain f2b-apache-auth (3 references)
target prot opt source destination
RETURN all -- anywhere anywhere
RETURN all -- anywhere anywhere
RETURN all -- anywhere anywhere
C'est par 3, toujours par 3. Ce qui peut sembler logique vu qu'il y a
3 fichiers à patcher.
Tu pourrais jeter un coup d'il à l'intérieur pour voir s'ils ne
retournent pas chacun une
instruction similaire, pas vrai ?
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: https://lists.debian.org/
On va encore dire que ça ne répond pas au besoin de l'OP , mais :
Le 14/01/2015 22:50, BERTRAND Joël a écrit :
Je m'étais tenté à ça, il y a quelques mois/anné es, sans aucun succès
(en particulier ce qui concerne IPv6) .
Depuis j'utilise sshguard ...
@+
Christophe.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: https://lists.debian.org/
On s'est mal compris. En ce moment, j'ai trois lignes RETURN par cible.
Mais lorsque je lance fail2ban, je n'ai qu'un RETURN par cible. Et ce
soir, j'avais 49 RETURN par cible avant de relancer le service.
J'ai regardé les fichiers en question avant d'écrire ici et je ne vois
pas trop ce qui pourrait provoquer un tel comportement.
Cordialement,
JKB
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: https://lists.debian.org/
Ça veut dire que le patch te balance 1 RETURN par IP bannie, c'est ça ?
Sinon, tu peux regarder ça :
iptables -S | grep fail2ban et cat /var/log/fail2ban.log
Je me sers beaucoup du fichier de log en ce moment pour voir comment
f2b se comporte, car je l'ai installé récemment.
(offert à mon serveur pour Noël)
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: https://lists.debian.org/
Ça a rapport avec ça ?
http://fr.reuters.com/article/topNews/idFRKBN0KO1NZ20150115
Je n'ai rien vu du tout, c'est bizarre ! Moi qui chope toutes les m
d'habitude.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: https://lists.debian.org/
Je ne sais pas. Je constate simplement...
Heureux homme.
JKB
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: https://lists.debian.org/