modules iptables

[infernum]

Salut,

Je cherche à bloquer des attaques en masses sur mon serveur ssh.

J'ai trouvé sur le net (ici http://snowman.net/projects/ ) un modules (qui se nomme ipt_recent) qui permet de drop directement les IP qui tentent + de x connexion pendant 5 minutes sur le port 22 par exemple.

Apparement, (j'aurai besoin de vos conseils) dans le kernel 2.6 dans le modules.dep (sous debian) ya déja un ipt_recent.

J'ai fais un modprobe ipt_recent et il se charge bien

J'ai créé mon script iptables comme cela

#!/bin/bash

iptables -F

iptables -X

iptables -P INPUT DROP

iptables -P OUTPUT DROP

iptables -P FORWARD DROP

iptables -A INPUT -i lo -j ACCEPT

iptables -A OUTPUT -o lo -j ACCEPT

#Controler les connexions SSH

iptables -N scanssh

iptables -A INPUT -p tcp --dport 22 -m state -state new -j scanssh

iptables -A scanssh -m recent -set -name ssh

iptables -A scanssh -m recent -update -seconds 180 -hitcount 3 -name ssh -j DROP

Par contre les règles en gras ne sont pas reconnu (ce sont des règles recopier sur le site indiqué) lors du chargement du script :

Bad argument `new'

Try `iptables -h' or 'iptables --help' for more information.

iptables v1.3.6: Unknown arg `-set'

Try `iptables -h' or 'iptables --help' for more information.

iptables v1.3.6: Unknown arg `recent'

Try `iptables -h' or 'iptables --help' for more information.

Quand je les commentes ya pas de soucis ca charge correctement

Es ce que j'ai loupé une étape pour chargé le module ??

Une autre question, sur le site indiqué on peu téléchargé le module, par contre je ne sais pas comment l'utiliser, pouvez vous m'aidez.

Merci d'avance

[theocrite]

Pourquoi ne pas installer failban tout simplement au lieu de se compliquer la vie avec iptables et des modules ?

[infernum]

J'ai réussi à le lancer, c'était due aux arguments mal indiqué,

Je suis repartie sur cette base

iptables -N scanssh

iptables -A INPUT -p tcp --dport 22 -m recent --name scanssh --set --rsource

iptables -A scanssh -m recent --update --seconds 180 --hitcount 3 --name scanssh -j DROP

Sauf que ca marche pas !

je fais des test, entre temps si vous avez qques conseils à me donner.

[infernum]

Salut,

Merci de ta réponse, ca a l'air sympa fail2ban je connaissais pas.

Je souhaite cependant créer la règle moi même, es ce qu"il utilise la meme regle de failureLogin pour chaque service ?

Pi perso j'aimerai bien comprendre et manipuler un peu ce module d'iptable

[theocrite]

Tu peux configurer les services : http://www.fail2ban.org/wiki/index.php/MAN...8#Configuration

[infernum]

Merci pour la doc, elle me sera utile,

Par contre tu n'aurai pas quelques conseils à me donner pour mes règles iptables ?

[theocrite]

Je ne serais pas du meilleur conseil pour iptables. J'ai horreur de ça. Pour les machines qui ont besoin d'un firewall, j'utilise OpenBSD+pf

[madko]

iptables -A INPUT -p tcp --dport 22 -m recent --rcheck --seconds 60 --hitcount 2 --name SSH -j LOG --log-prefix "SSH "
iptables -A INPUT -p tcp --dport 22 -m recent --update --seconds 60 --hitcount 2 --name SSH -j DROP
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --set --name SSH -j ACCEPT

Normalement c'est 3 lignes suffise, avec ça j'ai plus du tout de flood ssh.