J'ai deux questions à propos de fail2ban qui tourne actuellement sur
ma machine.
1°/ J'ai configuré fail2ban pour qu'il m'envoie un mail pour chaque
adresse bannie.
Je reçois entre 5 et 10 mails par jour que je classe dans un
répertoire de ma boîte mail.
Comme ça fait plusieurs mois que ça dure, j'ai plusieurs centaines d'@
IP bannies.
Y a t-il une possibilité de visualiser automatiquement la liste des
@IP bannies ? (sur une page web par exemple, ou sous un autre format).
2°/ Voici ce que me renvoie la commande:
# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
fail2ban-ssh tcp -- anywhere anywhere
multiport dports ssh
fail2ban-postfix tcp -- anywhere anywhere
multiport dports smtp,ssmtp
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
Chain fail2ban-postfix (1 references)
target prot opt source destination
RETURN all -- anywhere anywhere
Chain fail2ban-ssh (1 references)
target prot opt source destination
DROP all -- 99.198.122.105 anywhere
DROP all -- 204.110.14.17 anywhere
DROP all -- 247.112.140.187.ds.sparkstation.net
<http://247.112.140.187.ds.sparkstation.net> anywhere
DROP all -- 58-242-115-208.static.reverse.lstn.net
<http://58-242-115-208.static.reverse.lstn.net> anywhere
DROP all -- ip-72-167-47-28.ip.secureserver.net
<http://ip-72-167-47-28.ip.secureserver.net> anywhere
DROP all -- essen242.server4you.de
<http://essen242.server4you.de> anywhere
DROP all -- 66.11.123.195 anywhere
DROP all -- truster-0.webhosting4.net
<http://truster-0.webhosting4.net> anywhere
RETURN all -- anywhere anywhere
J'avoue ne pas savoir quoi penser dernières lignes DROP ?
D'après les infos que j'ai trouvées sur le NET cela ne semble pas t rès
normal.
J'ai deux questions à propos de fail2ban qui tourne actuellement sur
ma machine.
1°/ J'ai configuré fail2ban pour qu'il m'envoie un mail pour chaque
adresse bannie.
Je reçois entre 5 et 10 mails par jour que je classe dans un
répertoire de ma boîte mail.
Comme ça fait plusieurs mois que ça dure, j'ai plusieurs centaines d'@
IP bannies.
Y a t-il une possibilité de visualiser automatiquement la liste des
@IP bannies ? (sur une page web par exemple, ou sous un autre format).
2°/ Voici ce que me renvoie la commande:
# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
fail2ban-ssh tcp -- anywhere anywhere
multiport dports ssh
fail2ban-postfix tcp -- anywhere anywhere
multiport dports smtp,ssmtp
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
Chain fail2ban-postfix (1 references)
target prot opt source destination
RETURN all -- anywhere anywhere
Chain fail2ban-ssh (1 references)
target prot opt source destination
DROP all -- 99.198.122.105 anywhere
DROP all -- 204.110.14.17 anywhere
DROP all -- 247.112.140.187.ds.sparkstation.net
<http://247.112.140.187.ds.sparkstation.net> anywhere
DROP all -- 58-242-115-208.static.reverse.lstn.net
<http://58-242-115-208.static.reverse.lstn.net> anywhere
DROP all -- ip-72-167-47-28.ip.secureserver.net
<http://ip-72-167-47-28.ip.secureserver.net> anywhere
DROP all -- essen242.server4you.de
<http://essen242.server4you.de> anywhere
DROP all -- 66.11.123.195 anywhere
DROP all -- truster-0.webhosting4.net
<http://truster-0.webhosting4.net> anywhere
RETURN all -- anywhere anywhere
J'avoue ne pas savoir quoi penser dernières lignes DROP ?
D'après les infos que j'ai trouvées sur le NET cela ne semble pas t rès
normal.
J'ai deux questions à propos de fail2ban qui tourne actuellement sur
ma machine.
1°/ J'ai configuré fail2ban pour qu'il m'envoie un mail pour chaque
adresse bannie.
Je reçois entre 5 et 10 mails par jour que je classe dans un
répertoire de ma boîte mail.
Comme ça fait plusieurs mois que ça dure, j'ai plusieurs centaines d'@
IP bannies.
Y a t-il une possibilité de visualiser automatiquement la liste des
@IP bannies ? (sur une page web par exemple, ou sous un autre format).
2°/ Voici ce que me renvoie la commande:
# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
fail2ban-ssh tcp -- anywhere anywhere
multiport dports ssh
fail2ban-postfix tcp -- anywhere anywhere
multiport dports smtp,ssmtp
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
Chain fail2ban-postfix (1 references)
target prot opt source destination
RETURN all -- anywhere anywhere
Chain fail2ban-ssh (1 references)
target prot opt source destination
DROP all -- 99.198.122.105 anywhere
DROP all -- 204.110.14.17 anywhere
DROP all -- 247.112.140.187.ds.sparkstation.net
<http://247.112.140.187.ds.sparkstation.net> anywhere
DROP all -- 58-242-115-208.static.reverse.lstn.net
<http://58-242-115-208.static.reverse.lstn.net> anywhere
DROP all -- ip-72-167-47-28.ip.secureserver.net
<http://ip-72-167-47-28.ip.secureserver.net> anywhere
DROP all -- essen242.server4you.de
<http://essen242.server4you.de> anywhere
DROP all -- 66.11.123.195 anywhere
DROP all -- truster-0.webhosting4.net
<http://truster-0.webhosting4.net> anywhere
RETURN all -- anywhere anywhere
J'avoue ne pas savoir quoi penser dernières lignes DROP ?
D'après les infos que j'ai trouvées sur le NET cela ne semble pas t rès
normal.
Bonsoir,
J'ai deux questions à propos de fail2ban qui tourne actuellement sur ma
machine.
1°/ J'ai configuré fail2ban pour qu'il m'envoie un mail pour chaque a dresse
bannie.
Je reçois entre 5 et 10 mails par jour que je classe dans un répertoi re de
ma boîte mail.
Comme ça fait plusieurs mois que ça dure, j'ai plusieurs centaines d' @ IP
bannies.
Y a t-il une possibilité de visualiser automatiquement la liste des @IP
bannies ? (sur une page web par exemple, ou sous un autre format).
Pas de frontal à ma connaissance, mais coder une page web à partir de la
commande que vous indiquez ci-après n'est pas très difficile (si c'es t
vraiment ce que vous souhaitez avoir...). Il doit surement y avoir
différentes petites astuces sur le net.
Par contre, fail2ban banni effectivement des IP, mais pour une durée
définie dans la conf (10min par défaut si je me souviens bien, 1h, 1j , ...
cf "bantime"), parceque sinon... le parcours des tables pour chaque paque t
IP provoquerait une baisse de performance de votre réseaux au fur et a
mesure que le temps passe (sans compter les risques de DoS, la réductio n de
la ram disponible, ...).
2°/ Voici ce que me renvoie la commande:
# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
fail2ban-ssh tcp -- anywhere anywhere multiport
dports ssh
fail2ban-postfix tcp -- anywhere anywhere
multiport dports smtp,ssmtp
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
Chain fail2ban-postfix (1 references)
target prot opt source destination
RETURN all -- anywhere anywhere
Chain fail2ban-ssh (1 references)
target prot opt source destination
DROP all -- 99.198.122.105 anywhere
DROP all -- 204.110.14.17 anywhere
DROP all -- 247.112.140.187.ds.sparkstation.net
anywhere
DROP all -- 58-242-115-208.static.reverse.lstn.net
anywhere
DROP all -- ip-72-167-47-28.ip.secureserver.net
anywhere
DROP all -- essen242.server4you.de anywhere
DROP all -- 66.11.123.195 anywhere
DROP all -- truster-0.webhosting4.net anywhere
RETURN all -- anywhere anywhere
J'avoue ne pas savoir quoi penser dernières lignes DROP ?
D'après les infos que j'ai trouvées sur le NET cela ne semble pas tr ès
normal.
La chaine fail2ban-ssh contient les IP bannies par fail2ban pour le
service ssh (par analyse des log). Les autres chaines commencant par
"fail2ban-" aussi, pour d'autres service, dans votre cas, votre serveur m ail
Postfix. Les entrées que vous voyez, sont celles qui on été bannies suite à
des tentatives d'accès infructueuses à ssh, et seront supprimées un e fois la
durée du bannissement de chacune d'entre elles atteinte ou un redémar rage de
fail2ban. D'ailleurs, cette liste à surement changée depuis le temps. .. Mais
tout est parfaitement normal, vous n'êtes pas très sollicité...
Pour en apprendre plus, aller lire la documentation est la meilleure
solution : http://doc.ubuntu-fr.org/fail2ban et
http://www.fail2ban.org/wiki/index.php/FAQ_french pour des documentation
en français, et surtout l'originale dans la langue de Shakespeare :
http://www.fail2ban.org/wiki/index.php/Main_Page
Un dernier point, si les mails vous sont inutiles, ou peu utiles, vous
devriez envisagez de les désactiver, vous économiseriez ainsi des res sources
sur les différentes machines qui manipules vos mails, de l'espace disqu e, de
l'énergie, et surement d'autres choses encore...
Thibaut
Bonsoir,
J'ai deux questions à propos de fail2ban qui tourne actuellement sur ma
machine.
1°/ J'ai configuré fail2ban pour qu'il m'envoie un mail pour chaque a dresse
bannie.
Je reçois entre 5 et 10 mails par jour que je classe dans un répertoi re de
ma boîte mail.
Comme ça fait plusieurs mois que ça dure, j'ai plusieurs centaines d' @ IP
bannies.
Y a t-il une possibilité de visualiser automatiquement la liste des @IP
bannies ? (sur une page web par exemple, ou sous un autre format).
Pas de frontal à ma connaissance, mais coder une page web à partir de la
commande que vous indiquez ci-après n'est pas très difficile (si c'es t
vraiment ce que vous souhaitez avoir...). Il doit surement y avoir
différentes petites astuces sur le net.
Par contre, fail2ban banni effectivement des IP, mais pour une durée
définie dans la conf (10min par défaut si je me souviens bien, 1h, 1j , ...
cf "bantime"), parceque sinon... le parcours des tables pour chaque paque t
IP provoquerait une baisse de performance de votre réseaux au fur et a
mesure que le temps passe (sans compter les risques de DoS, la réductio n de
la ram disponible, ...).
2°/ Voici ce que me renvoie la commande:
# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
fail2ban-ssh tcp -- anywhere anywhere multiport
dports ssh
fail2ban-postfix tcp -- anywhere anywhere
multiport dports smtp,ssmtp
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
Chain fail2ban-postfix (1 references)
target prot opt source destination
RETURN all -- anywhere anywhere
Chain fail2ban-ssh (1 references)
target prot opt source destination
DROP all -- 99.198.122.105 anywhere
DROP all -- 204.110.14.17 anywhere
DROP all -- 247.112.140.187.ds.sparkstation.net
anywhere
DROP all -- 58-242-115-208.static.reverse.lstn.net
anywhere
DROP all -- ip-72-167-47-28.ip.secureserver.net
anywhere
DROP all -- essen242.server4you.de anywhere
DROP all -- 66.11.123.195 anywhere
DROP all -- truster-0.webhosting4.net anywhere
RETURN all -- anywhere anywhere
J'avoue ne pas savoir quoi penser dernières lignes DROP ?
D'après les infos que j'ai trouvées sur le NET cela ne semble pas tr ès
normal.
La chaine fail2ban-ssh contient les IP bannies par fail2ban pour le
service ssh (par analyse des log). Les autres chaines commencant par
"fail2ban-" aussi, pour d'autres service, dans votre cas, votre serveur m ail
Postfix. Les entrées que vous voyez, sont celles qui on été bannies suite à
des tentatives d'accès infructueuses à ssh, et seront supprimées un e fois la
durée du bannissement de chacune d'entre elles atteinte ou un redémar rage de
fail2ban. D'ailleurs, cette liste à surement changée depuis le temps. .. Mais
tout est parfaitement normal, vous n'êtes pas très sollicité...
Pour en apprendre plus, aller lire la documentation est la meilleure
solution : http://doc.ubuntu-fr.org/fail2ban et
http://www.fail2ban.org/wiki/index.php/FAQ_french pour des documentation
en français, et surtout l'originale dans la langue de Shakespeare :
http://www.fail2ban.org/wiki/index.php/Main_Page
Un dernier point, si les mails vous sont inutiles, ou peu utiles, vous
devriez envisagez de les désactiver, vous économiseriez ainsi des res sources
sur les différentes machines qui manipules vos mails, de l'espace disqu e, de
l'énergie, et surement d'autres choses encore...
Thibaut
Bonsoir,
J'ai deux questions à propos de fail2ban qui tourne actuellement sur ma
machine.
1°/ J'ai configuré fail2ban pour qu'il m'envoie un mail pour chaque a dresse
bannie.
Je reçois entre 5 et 10 mails par jour que je classe dans un répertoi re de
ma boîte mail.
Comme ça fait plusieurs mois que ça dure, j'ai plusieurs centaines d' @ IP
bannies.
Y a t-il une possibilité de visualiser automatiquement la liste des @IP
bannies ? (sur une page web par exemple, ou sous un autre format).
Pas de frontal à ma connaissance, mais coder une page web à partir de la
commande que vous indiquez ci-après n'est pas très difficile (si c'es t
vraiment ce que vous souhaitez avoir...). Il doit surement y avoir
différentes petites astuces sur le net.
Par contre, fail2ban banni effectivement des IP, mais pour une durée
définie dans la conf (10min par défaut si je me souviens bien, 1h, 1j , ...
cf "bantime"), parceque sinon... le parcours des tables pour chaque paque t
IP provoquerait une baisse de performance de votre réseaux au fur et a
mesure que le temps passe (sans compter les risques de DoS, la réductio n de
la ram disponible, ...).
2°/ Voici ce que me renvoie la commande:
# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
fail2ban-ssh tcp -- anywhere anywhere multiport
dports ssh
fail2ban-postfix tcp -- anywhere anywhere
multiport dports smtp,ssmtp
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
Chain fail2ban-postfix (1 references)
target prot opt source destination
RETURN all -- anywhere anywhere
Chain fail2ban-ssh (1 references)
target prot opt source destination
DROP all -- 99.198.122.105 anywhere
DROP all -- 204.110.14.17 anywhere
DROP all -- 247.112.140.187.ds.sparkstation.net
anywhere
DROP all -- 58-242-115-208.static.reverse.lstn.net
anywhere
DROP all -- ip-72-167-47-28.ip.secureserver.net
anywhere
DROP all -- essen242.server4you.de anywhere
DROP all -- 66.11.123.195 anywhere
DROP all -- truster-0.webhosting4.net anywhere
RETURN all -- anywhere anywhere
J'avoue ne pas savoir quoi penser dernières lignes DROP ?
D'après les infos que j'ai trouvées sur le NET cela ne semble pas tr ès
normal.
La chaine fail2ban-ssh contient les IP bannies par fail2ban pour le
service ssh (par analyse des log). Les autres chaines commencant par
"fail2ban-" aussi, pour d'autres service, dans votre cas, votre serveur m ail
Postfix. Les entrées que vous voyez, sont celles qui on été bannies suite à
des tentatives d'accès infructueuses à ssh, et seront supprimées un e fois la
durée du bannissement de chacune d'entre elles atteinte ou un redémar rage de
fail2ban. D'ailleurs, cette liste à surement changée depuis le temps. .. Mais
tout est parfaitement normal, vous n'êtes pas très sollicité...
Pour en apprendre plus, aller lire la documentation est la meilleure
solution : http://doc.ubuntu-fr.org/fail2ban et
http://www.fail2ban.org/wiki/index.php/FAQ_french pour des documentation
en français, et surtout l'originale dans la langue de Shakespeare :
http://www.fail2ban.org/wiki/index.php/Main_Page
Un dernier point, si les mails vous sont inutiles, ou peu utiles, vous
devriez envisagez de les désactiver, vous économiseriez ainsi des res sources
sur les différentes machines qui manipules vos mails, de l'espace disqu e, de
l'énergie, et surement d'autres choses encore...
Thibaut