Posté(e) le 3 octobre 200816 a Salut, Je cherche à bloquer des attaques en masses sur mon serveur ssh. J'ai trouvé sur le net (ici http://snowman.net/projects/ ) un modules (qui se nomme ipt_recent) qui permet de drop directement les IP qui tentent + de x connexion pendant 5 minutes sur le port 22 par exemple. Apparement, (j'aurai besoin de vos conseils) dans le kernel 2.6 dans le modules.dep (sous debian) ya déja un ipt_recent. J'ai fais un modprobe ipt_recent et il se charge bien J'ai créé mon script iptables comme cela #!/bin/bashiptables -F iptables -X iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP iptables -A INPUT -i lo -j ACCEPT iptables -A OUTPUT -o lo -j ACCEPT #Controler les connexions SSH iptables -N scanssh iptables -A INPUT -p tcp --dport 22 -m state -state new -j scanssh iptables -A scanssh -m recent -set -name ssh iptables -A scanssh -m recent -update -seconds 180 -hitcount 3 -name ssh -j DROP Par contre les règles en gras ne sont pas reconnu (ce sont des règles recopier sur le site indiqué) lors du chargement du script : Bad argument `new'Try `iptables -h' or 'iptables --help' for more information. iptables v1.3.6: Unknown arg `-set' Try `iptables -h' or 'iptables --help' for more information. iptables v1.3.6: Unknown arg `recent' Try `iptables -h' or 'iptables --help' for more information. Quand je les commentes ya pas de soucis ca charge correctement Es ce que j'ai loupé une étape pour chargé le module ?? Une autre question, sur le site indiqué on peu téléchargé le module, par contre je ne sais pas comment l'utiliser, pouvez vous m'aidez. Merci d'avance
Posté(e) le 3 octobre 200816 a Pourquoi ne pas installer failban tout simplement au lieu de se compliquer la vie avec iptables et des modules ?
Posté(e) le 3 octobre 200816 a Auteur J'ai réussi à le lancer, c'était due aux arguments mal indiqué, Je suis repartie sur cette base iptables -N scanssh iptables -A INPUT -p tcp --dport 22 -m recent --name scanssh --set --rsource iptables -A scanssh -m recent --update --seconds 180 --hitcount 3 --name scanssh -j DROP Sauf que ca marche pas ! je fais des test, entre temps si vous avez qques conseils à me donner.
Posté(e) le 3 octobre 200816 a Auteur Salut, Merci de ta réponse, ca a l'air sympa fail2ban je connaissais pas. Je souhaite cependant créer la règle moi même, es ce qu"il utilise la meme regle de failureLogin pour chaque service ? Pi perso j'aimerai bien comprendre et manipuler un peu ce module d'iptable
Posté(e) le 3 octobre 200816 a Tu peux configurer les services : http://www.fail2ban.org/wiki/index.php/MAN...8#Configuration
Posté(e) le 3 octobre 200816 a Auteur Merci pour la doc, elle me sera utile, Par contre tu n'aurai pas quelques conseils à me donner pour mes règles iptables ?
Posté(e) le 3 octobre 200816 a Je ne serais pas du meilleur conseil pour iptables. J'ai horreur de ça. Pour les machines qui ont besoin d'un firewall, j'utilise OpenBSD+pf
Posté(e) le 3 octobre 200816 a iptables -A INPUT -p tcp --dport 22 -m recent --rcheck --seconds 60 --hitcount 2 --name SSH -j LOG --log-prefix "SSH " iptables -A INPUT -p tcp --dport 22 -m recent --update --seconds 60 --hitcount 2 --name SSH -j DROP iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --set --name SSH -j ACCEPT Normalement c'est 3 lignes suffise, avec ça j'ai plus du tout de flood ssh.
Archivé
Ce sujet est désormais archivé et ne peut plus recevoir de nouvelles réponses.