Ubuntu-fr

nickthevoice

Comment Bannir des IP après 3 tentatives sur n'importe quel port ?

Bonjour !

J'ai UFW de configuré sur mon serveur ubuntu 12.04,

Je vois dans le SYSLOG  que le même IP à fait des tentatives sur TOUT les ports depuis plusieurs jours !

J'aimerais ajouter une règle par UFW que :
Si un IP tente d'accéder plus de 3 fois sur mon serveur (peut importe le port) il est banni, mais ça devra exclure le 80 je crois puisque j'héberge des sites web.  EST-CE POSSIBLE ?

MERCI D'AVANCE !

nicK

Dernière modification par nickthevoice (Le 17/10/2014, à 10:48)

jplemoine

Re : Comment Bannir des IP après 3 tentatives sur n'importe quel port ?

Je pense que la réponse est fail2ban : ça fait ce genre de truc : au bout de n tentatives infructueuse, bannissement de x minutes.
Au bout de x bannissements de 5mn, bannissement d'1 heure.
En modifiant les paramètres, on doit pouvoir ne pas "débannir" une IP sans toutefois s'autobloquer (on peut exclure des IP du bannissement éventuel)...

Je crois que fail2ban agit sur les "iptables" : on doit donc pouvoir le faire directement mais je ne sais pas faire.

---

Membre de l'ALDIL (Association Lyonnaise pour le Développement de l'Informatique Libre)
- En pro, après 20 ans de développement, administrateur Linux / Unix depuis Avril 2019.
- En privé, sous Ubuntu-Xubuntu depuis 2009.

tiramiseb

Re : Comment Bannir des IP après 3 tentatives sur n'importe quel port ?

Salut,

Ou, c'est exactement le rôle de fail2ban.

---

Sébastien Maccagnoni - https://www.maccagnoni.eu - https://www.domotego.com

nickthevoice

Re : Comment Bannir des IP après 3 tentatives sur n'importe quel port ?

ALLO !

Je crois que ses petits serveur VPS 500M/20GB 1CPU perdent beaucoup de performance et de mémoire à seulement combattre les attaques venant très souvent de IP de la chine mais bon...

Présentement je vois dans mon syslog que UFW block un IP en particulier qui est étrangement (parano un peu) tout prêt de chez moi et qui essaie TOUT les ports depuis plusieurs jours, et je ne trouve pas de solution pour qu'il me foutre la PAIX  !!!

Pour le moment UFW fait ce qu'il doit faire mais justement,  si y'en a 100 des petits drôles comme ça, je prend de la performance !? 

MERCI de votre aide sur le sujet !

nicK

tiramiseb

Re : Comment Bannir des IP après 3 tentatives sur n'importe quel port ?

Tu parles de "combattre", mais ta machine ne combats rien du tout. Tu reçois des tentatives, ces tentatives sont bloquées et enregistrées dans les logs.

Bannir une IP, ce serait fermer les ports avec iptables. Mais les ports sont déjà fermés, vu que tu as les logs d'iptables (marqués "UFW"). Tu veux que ça n'apparaisse plus dans les logs ? Deux solutions :
- supprimer ce pare-feu inutile (car oui, mettre un mur devant un mur, ça ne sert à rien : un port fermé, sans logiciel en écoute, c'est un mur) ;
- demander au pare-feu de ne plus faire de logs.

S'il y a des milliers de "petits drôles comme ça", tu peux perdre en performances, mais c'est surtout ton hébergeur qui perdrait en performances, vu que tu as un VPS : le réseau risque d'être surchargé avant que ta machine ne présente un réel ralentissement. Et une centaine de "petits drôles" ne posera pas de problèmes. Sauf avec tes logs de pare-feu, vu que tu as décidé d'activer ce truc inutile.

---

Sébastien Maccagnoni - https://www.maccagnoni.eu - https://www.domotego.com

nickthevoice

Re : Comment Bannir des IP après 3 tentatives sur n'importe quel port ?

Merci pour ta réponse c'est rassurent ! 

Quand tu regarde les logs y'a de quoi virer FOU  avec ça mais ta façon d'expliquer me calme

MERCI

nicK

Pseudo supprimé

Re : Comment Bannir des IP après 3 tentatives sur n'importe quel port ?

Je vois dans le SYSLOG  que le même IP a fait des tentatives sur TOUS les ports depuis plusieurs jours !

scanlogd+fail2ban

Cela va juste empêcher les bots de scan automatique de bas niveau; Inefficace si le scan est sélectif, temporisé.

les attaques venant très souvent de IP de la chine

malheureusement, la Chine a très mauvaise presse dans ce domaine

iptables+mod geoip