Fail2ban - Comment ne pas se bloquer ?

Jonathan38 · Le 28/09/2007, à 13:50

Bonjour,

Je souhaiterai installer Fail2ban sur une 6.06LTS mais vu que cette dernière est hébergée sur un dédié, je n'aimerais pas trop me voir bloquer l'acces ...

Donc voilà, avant de faire des bétises, je demande un peu d'aide...

Si j'installe Fail2ban et que je demande le lock de l'IP au bout de 20 connexions, lIP sera bloquée.

Mais est-il possible d'ajouter un spool d'IP qui ne seront pas affectées par cette règle ? Sur le /etc/hosts.allow par exemple ? Et le fichier host doit-il avoir une syntaxe particulière ?

Merci d'avance pour votre aide.

Jonathan

foobar47 · Le 28/09/2007, à 14:06

Bonjour,

Fail2ban se base sur iptables.
Fais de même en ACCEPTant ton IP...

Jonathan38 · Le 28/09/2007, à 14:10

Salut foobar47,

Je n'utilises pas iptables, n'y aurait-il pas alors un autre logiciel permettant de bloquer les requetes ssh ?

dexinou · Le 28/09/2007, à 15:08

Dans le fichier de config de fail2ban il y a un paramètre pour indiquer l'ip à ne jamais bloquer

Jonathan38 · Le 28/09/2007, à 16:11

ok, je vais me pencher dessus ...
merci

Jonathan38 · Le 28/09/2007, à 17:54

Et je ne risque pas de me bloquer avec iptable si ca enclenche le service ?

dexinou · Le 28/09/2007, à 18:33

Met des règles pour ssh avant de faire un DROP
Si tu fais iptables -P INPUT DROP avant de faire un :
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
et un
iptables -A INPUT -p tcp -i eth0 --dport ssh -j ACCEPT
Alors tè mal.

Jonathan38 · Le 28/09/2007, à 18:38

Oulà, je suis paumé ... et généralement, quand je touche à un firewall sous Linux, j'ai la facheuse tendance à me vérouiller moi meme ^^

En fait, j'aimerai bien utiliser Fail2ban sans activer le firewall ...

J'ai fait un apt-get install Fail2ban et un status sur le service, qui était démarré ...

Et quand je fais un iptables -L, j'obtiens :

Chain INPUT (policy ACCEPT)
target     prot opt source               destination
fail2ban-SSH  tcp  --  anywhere             anywhere            tcp dpt:ssh

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Chain fail2ban-SSH (1 references)
target     prot opt source               destination
RETURN     all  --  anywhere             anywhere

Je peux rester comme ca non ?
Fail2ban fonctionne très bien sans firewall non ?

foobar47 · Le 01/10/2007, à 10:04

Tu ne peux pas utiliser fail2ban sans utiliser le firewall...
Fail2ban fonctionne AVEC le firewall.

fail2ban lit les logs de divers serveurs (ssh, apache, ftp,...) à la recherche d'erreurs d'authentification répétées et ajoute une règle iptables pour bannir l'adresse IP de la source.

Jonathan38 · Le 01/10/2007, à 10:08

tous les ports m'ont l'air ouverts ... aucune règles mis à part le fail2ban...
et ca fonctionne au top

foobar47 · Le 01/10/2007, à 12:35

S'il n'y a aucune règle, c'est qu'il n'y a pas encore eu de tentatives...
Tu dis "Tous les ports m'ont l'air ouvert"...
Il est tout de même bon de se demander si tu as réellement besoin d'ouvrir les ports en question...
Enfin, il ne faut pas se croire à l'abri juste parce qu'on ajoute une pseudo-couche de protection supplémentaire.

My 2 cents.

Jonathan38 · Le 01/10/2007, à 13:43

Sisi, ca fonctionne, j'ai bloqué les ip 12 heures :

Chain INPUT (policy ACCEPT)
target     prot opt source               destination
fail2ban-SSH  tcp  --  anywhere             anywhere            tcp dpt:ssh
fail2ban-Apache  tcp  --  anywhere             anywhere            tcp dpt:www

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Chain fail2ban-Apache (1 references)
target     prot opt source               destination
RETURN     all  --  anywhere             anywhere

Chain fail2ban-SSH (1 references)
target     prot opt source               destination
DROP       all  --  host13-72-static.105-82-b.business.telecomitalia.it  anywher                                                                             e
DROP       all  --  89.140.26.162.static.user.ono.com  anywhere
DROP       all  --  host4-addr.IPTV.cstmr-assgn.ustdata.com  anywhere                                                                                        
RETURN     all  --  anywhere             anywhere

foobar47 · Le 01/10/2007, à 13:57

Nikel alors

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#1 Le 28/09/2007, à 13:50

Fail2ban - Comment ne pas se bloquer ?

#2 Le 28/09/2007, à 14:06

Re : Fail2ban - Comment ne pas se bloquer ?

#3 Le 28/09/2007, à 14:10

Re : Fail2ban - Comment ne pas se bloquer ?

#4 Le 28/09/2007, à 15:08

Re : Fail2ban - Comment ne pas se bloquer ?

#5 Le 28/09/2007, à 16:11

Re : Fail2ban - Comment ne pas se bloquer ?

#6 Le 28/09/2007, à 17:54

Re : Fail2ban - Comment ne pas se bloquer ?

#7 Le 28/09/2007, à 18:33

Re : Fail2ban - Comment ne pas se bloquer ?

#8 Le 28/09/2007, à 18:38

Re : Fail2ban - Comment ne pas se bloquer ?

#9 Le 01/10/2007, à 10:04

Re : Fail2ban - Comment ne pas se bloquer ?

#10 Le 01/10/2007, à 10:08

Re : Fail2ban - Comment ne pas se bloquer ?

#11 Le 01/10/2007, à 12:35

Re : Fail2ban - Comment ne pas se bloquer ?

#12 Le 01/10/2007, à 13:43

Re : Fail2ban - Comment ne pas se bloquer ?

#13 Le 01/10/2007, à 13:57

Re : Fail2ban - Comment ne pas se bloquer ?

Pied de page des forums