Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

Pages : 1

#1 Le 08/08/2019, à 15:01

Dionysoos

[RESOLU] Fail2BAN - IPTABLES règle qui ne bloque pas le trafic

Bonjour,

Pour limiter les attaques brute force sur notre serveur SMTP j'ai mis en place fail2ban.
La  jail configuré fonctionne correctement pour bannir une adresse IP en fonction des paramètres définit.
Extrait des logs fail2ban :

2019-08-08 14:16:54,316 fail2ban.actions        [916]: NOTICE  [zimbra-smtp] 141.98.xxx.xxx already banned
2019-08-08 14:19:47,065 fail2ban.filter         [916]: INFO    [zimbra-smtp] Found 141.98.xxx.xxx
2019-08-08 14:19:49,121 fail2ban.filter         [916]: INFO    [zimbra-smtp] Found 141.98.xxx.xxx
2019-08-08 14:19:49,518 fail2ban.actions        [916]: NOTICE  [zimbra-smtp] 141.98.xxx.xxx already banned
2019-08-08 14:28:28,427 fail2ban.filter         [916]: INFO    [zimbra-smtp] Found 78.128.xxx.xxx
2019-08-08 14:28:31,149 fail2ban.filter         [916]: INFO    [zimbra-smtp] Found 78.128.xxx.xxx
2019-08-08 14:28:32,114 fail2ban.actions        [916]: NOTICE  [zimbra-smtp] 78.128.xxx.xxx already banned
2019-08-08 14:28:43,703 fail2ban.filter         [916]: INFO    [zimbra-smtp] Found 178.62.xxx.xxx
2019-08-08 14:28:44,127 fail2ban.actions        [916]: NOTICE  [zimbra-smtp] 178.62.xxx.xxx already banned
2019-08-08 14:29:50,047 fail2ban.filter         [916]: INFO    [zimbra-smtp] Found 141.98.xxx.xxx
2019-08-08 14:29:52,182 fail2ban.filter         [916]: INFO    [zimbra-smtp] Found 141.98.xxx.xxx
2019-08-08 14:29:52,208 fail2ban.actions        [916]: NOTICE  [zimbra-smtp] 141.98.xxx.xxx already banned
2019-08-08 14:30:30,561 fail2ban.filter         [916]: INFO    [zimbra-smtp] Found 78.128.xxx.xxx
2019-08-08 14:30:31,959 fail2ban.filter         [916]: INFO    [zimbra-smtp] Found 78.128.xxx.xxx
2019-08-08 14:30:32,253 fail2ban.actions        [916]: NOTICE  [zimbra-smtp] 78.128.xxx.xxx already banned
2019-08-08 14:37:33,066 fail2ban.filter         [916]: INFO    [zimbra-smtp] Found 141.98.xxx.xxx
2019-08-08 14:37:35,493 fail2ban.filter         [916]: INFO    [zimbra-smtp] Found 141.98.xxx.xxx
2019-08-08 14:37:35,743 fail2ban.actions        [916]: NOTICE  [zimbra-smtp] 141.98.xxx.xxx already banned
2019-08-08 14:39:54,530 fail2ban.filter         [916]: INFO    [zimbra-smtp] Found 45.227.xxx.xxx
2019-08-08 14:39:57,509 fail2ban.filter         [916]: INFO    [zimbra-smtp] Found 45.227.xxx.xxx
2019-08-08 14:39:57,907 fail2ban.actions        [916]: NOTICE  [zimbra-smtp] 45.227.xxx.xxx already banned
2019-08-08 14:40:00,912 fail2ban.filter         [916]: INFO    [zimbra-smtp] Found 78.128.xxx.xxx
2019-08-08 14:40:05,174 fail2ban.filter         [916]: INFO    [zimbra-smtp] Found 78.128.xxx.xxx

Là nous pouvons déjà remarquer qu'il y a un problème, une adresse BAN ne devrait plus générer de trafic, car elle doit être bloquée par la règle iptable ajoutée par fail2ban.

Allons vérifier iptable pour les adresses qui nous intéressent :

REJECT     all  --  78.128.xxx.xxx        0.0.0.0/0            reject-with icmp-port-unreachable
REJECT     all  --  141.98.xxx.xxx        0.0.0.0/0            reject-with icmp-port-unreachable
REJECT     all  --  45.227.xxx.xxx       0.0.0.0/0            reject-with icmp-port-unreachable

Les règles sont bien présentent mais le trafic n'est pas bloqué.
Création d'une règle iptable supplémentaire pour logger le trafic sur le port utilisé 587.

Un petit coup d'oeil dans kernel.log

Aug  8 14:39:57 srv-messagerie-front kernel: [1196443.606485] IN=ens160 OUT= MAC=00:50:56:xx:xx:xx:00:0d:b4:13:2a:xx:xx:xx SRC=45.227.xxx.xxx DST=192.168.xxx.xxx LEN=78 TOS=0x00 PREC=0x00 TTL=59 ID=43823 DF PROTO=TCP SPT=8602 DPT=587 WINDOW=7300 RES=0x00 ACK PSH URGP=0
Aug  8 14:39:57 srv-messagerie-front kernel: [1196443.653033] IN=ens160 OUT= MAC=00:50:56:xx:xx:xx:00:0d:b4:13:2a:xx:xx:xx SRC=45.227.xxx.xxx DST=192.168.xxx.xxx LEN=52 TOS=0x00 PREC=0x00 TTL=59 ID=43824 DF PROTO=TCP SPT=8602 DPT=587 WINDOW=7300 RES=0x00 ACK URGP=0
Aug  8 14:39:57 srv-messagerie-front kernel: [1196443.926972] IN=ens160 OUT= MAC=00:50:56:xx:xx:xx:00:0d:b4:13:2a:xx:xx:xx SRC=45.227.xxx.xxx DST=192.168.xxx.xxx LEN=52 TOS=0x00 PREC=0x00 TTL=59 ID=43825 DF PROTO=TCP SPT=8602 DPT=587 WINDOW=7300 RES=0x00 ACK FIN URGP=0
Aug  8 14:39:57 srv-messagerie-front kernel: [1196443.949897] IN=ens160 OUT= MAC=00:50:56:xx:xx:xx:00:0d:b4:13:2a:xx:xx:xx SRC=45.227.xxx.xxx DST=192.168.xxx.xxx LEN=52 TOS=0x00 PREC=0x00 TTL=59 ID=43826 DF PROTO=TCP SPT=8602 DPT=587 WINDOW=7300 RES=0x00 ACK URGP=0
Aug  8 14:39:59 srv-messagerie-front kernel: [1196445.959027] IN=ens160 OUT= MAC=00:50:56:xx:xx:xx:00:0d:b4:13:2a:xx:xx:xx SRC=78.128.xxx.xxx DST=192.168.xxx.xxx LEN=74 TOS=0x00 PREC=0x00 TTL=56 ID=30410 DF PROTO=TCP SPT=19246 DPT=587 WINDOW=1 RES=0x00 ACK PSH URGP=0
Aug  8 14:39:59 srv-messagerie-front kernel: [1196445.999482] IN=ens160 OUT= MAC=00:50:56:xx:xx:xx:00:0d:b4:13:2a:xx:xx:xx SRC=78.128.xxx.xxx DST=192.168.xxx.xxx LEN=52 TOS=0x00 PREC=0x00 TTL=56 ID=30411 DF PROTO=TCP SPT=19246 DPT=587 WINDOW=1 RES=0x00 ACK URGP=0

J'ai vu que nous pouvons avoir ce comportement quand une connexion reste active, vérifions cela :
sudo netstat -ant | grep EST | grep '45.227.xxx.xxx'

La commande me retourne aucune connexion active depuis ces adresses IP.

Bref je ne comprends pas ce qui coince... La règle iptable qui est incorrecte je ne vois que ça ?

Dionysoos

Dernière modification par Dionysoos (Le 08/08/2019, à 16:51)

Hors ligne

#2 Le 08/08/2019, à 16:50

Dionysoos

Re : [RESOLU] Fail2BAN - IPTABLES règle qui ne bloque pas le trafic

Bonjour,

J'ai contourné le problème en affectant comme valeur iptables-allports au paramètre banaction dans la jail en question, au lieu de la valeur par défaut fixée sur iptables-multiport.
l'action iptables-allports bloque l'accès à l'ensemble des ports du serveur pour la machine bannit : actionstart <iptables> -I <chain> -p <protocol> -j f2b-<name>

Radical, mais ça répond à mon besoin.

Dionysoos

Hors ligne

#3 Le 08/08/2019, à 18:42

cqfd93

Re : [RESOLU] Fail2BAN - IPTABLES règle qui ne bloque pas le trafic

Modération

Bonjour,

Pour ajouter toi-même les balises code à ton message #1 :

  • Cliquer sur le lien « Modifier » en bas à droite du message

  • Sélectionner le texte

  • Cliquer sur le <> de l'éditeur de message
    1471986854.png

cqfd93

Hors ligne

#4 Le 09/08/2019, à 08:19

Dionysoos

Re : [RESOLU] Fail2BAN - IPTABLES règle qui ne bloque pas le trafic

Bonjour,

Merci pour l'information, j'essaierais de m'en souvenir.
En tous cas quelle efficacité ! Analyse les comportement non optimisé de la communauté smile

Hors ligne

#5 Le 09/08/2019, à 08:27

xubu1957

Re : [RESOLU] Fail2BAN - IPTABLES règle qui ne bloque pas le trafic

Bonjour,

Voir règles du forum > balises BB code

Balise CODE :

C'est la balise à utiliser pour donner de longs messages d'erreurs, des contenus de fichiers de configuration, des commandes à taper, etc … Elle permet des messages plus "compacts", et est moins ambiguë que d'autres polices sur certains caractères.

Conseils pour les nouveaux demandeurs et pas qu'eux
Important : Pensez à passer vos sujets en [Résolu] lorsque ceux-ci le sont, au début du titre en cliquant sur Modifier sous le premier message, et un bref récapitulatif de la solution à la fin de celui-ci. Merci.                   Membre de Linux-Azur

En ligne

Pages : 1