infernum Posted October 3, 2008 Share Posted October 3, 2008 Salut, Je cherche à bloquer des attaques en masses sur mon serveur ssh. J'ai trouvé sur le net (ici http://snowman.net/projects/ ) un modules (qui se nomme ipt_recent) qui permet de drop directement les IP qui tentent + de x connexion pendant 5 minutes sur le port 22 par exemple. Apparement, (j'aurai besoin de vos conseils) dans le kernel 2.6 dans le modules.dep (sous debian) ya déja un ipt_recent. J'ai fais un modprobe ipt_recent et il se charge bien J'ai créé mon script iptables comme cela #!/bin/bashiptables -F iptables -X iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP iptables -A INPUT -i lo -j ACCEPT iptables -A OUTPUT -o lo -j ACCEPT #Controler les connexions SSH iptables -N scanssh iptables -A INPUT -p tcp --dport 22 -m state -state new -j scanssh iptables -A scanssh -m recent -set -name ssh iptables -A scanssh -m recent -update -seconds 180 -hitcount 3 -name ssh -j DROP Par contre les règles en gras ne sont pas reconnu (ce sont des règles recopier sur le site indiqué) lors du chargement du script : Bad argument `new'Try `iptables -h' or 'iptables --help' for more information. iptables v1.3.6: Unknown arg `-set' Try `iptables -h' or 'iptables --help' for more information. iptables v1.3.6: Unknown arg `recent' Try `iptables -h' or 'iptables --help' for more information. Quand je les commentes ya pas de soucis ca charge correctement Es ce que j'ai loupé une étape pour chargé le module ?? Une autre question, sur le site indiqué on peu téléchargé le module, par contre je ne sais pas comment l'utiliser, pouvez vous m'aidez. Merci d'avance Link to post Share on other sites
theocrite Posted October 3, 2008 Share Posted October 3, 2008 Pourquoi ne pas installer failban tout simplement au lieu de se compliquer la vie avec iptables et des modules ? Link to post Share on other sites
infernum Posted October 3, 2008 Author Share Posted October 3, 2008 J'ai réussi à le lancer, c'était due aux arguments mal indiqué, Je suis repartie sur cette base iptables -N scanssh iptables -A INPUT -p tcp --dport 22 -m recent --name scanssh --set --rsource iptables -A scanssh -m recent --update --seconds 180 --hitcount 3 --name scanssh -j DROP Sauf que ca marche pas ! je fais des test, entre temps si vous avez qques conseils à me donner. Link to post Share on other sites
infernum Posted October 3, 2008 Author Share Posted October 3, 2008 Salut, Merci de ta réponse, ca a l'air sympa fail2ban je connaissais pas. Je souhaite cependant créer la règle moi même, es ce qu"il utilise la meme regle de failureLogin pour chaque service ? Pi perso j'aimerai bien comprendre et manipuler un peu ce module d'iptable Link to post Share on other sites
theocrite Posted October 3, 2008 Share Posted October 3, 2008 Tu peux configurer les services : http://www.fail2ban.org/wiki/index.php/MAN...8#Configuration Link to post Share on other sites
infernum Posted October 3, 2008 Author Share Posted October 3, 2008 Merci pour la doc, elle me sera utile, Par contre tu n'aurai pas quelques conseils à me donner pour mes règles iptables ? Link to post Share on other sites
theocrite Posted October 3, 2008 Share Posted October 3, 2008 Je ne serais pas du meilleur conseil pour iptables. J'ai horreur de ça. Pour les machines qui ont besoin d'un firewall, j'utilise OpenBSD+pf Link to post Share on other sites
madko Posted October 3, 2008 Share Posted October 3, 2008 iptables -A INPUT -p tcp --dport 22 -m recent --rcheck --seconds 60 --hitcount 2 --name SSH -j LOG --log-prefix "SSH " iptables -A INPUT -p tcp --dport 22 -m recent --update --seconds 60 --hitcount 2 --name SSH -j DROP iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --set --name SSH -j ACCEPT Normalement c'est 3 lignes suffise, avec ça j'ai plus du tout de flood ssh. Link to post Share on other sites
Recommended Posts
Archived
This topic is now archived and is closed to further replies.