Pages : 1
#1 Le 09/09/2013, à 21:41
- aloyer
Impossible de bloquer une IP avec IPTABLES
Bonjour,
Je subi depuis quelques temps des attaques d'une adresse IP du brésil. Fail2ban ne semble mettre en mettre en prison cet IP. J'ai donc créé une règle iptables pour bannir définitivement cette IP :
sudo iptables -A INPUT -s 189.19.11.85 -j DROPMais quand je regarde la liste des règles l'adresse IP a été transformée :
DROP all -- 189-19-11-85.dsl.telesp.net.br anywhereet du coup ça ne bloque pas cette adresse.
Pouvez vous m'aider à bannir définitivement cet IP.
Merci
Hors ligne
#2 Le 09/09/2013, à 21:54
- Haleth
Re : Impossible de bloquer une IP avec IPTABLES
L'adresse IP n'est pas modifié, c'est la même.
Tu peux essayé de spécifier le protocole (udp / tcp), m'enfin a priori c'est bon avec la commande que tu as donné;
Ubuntu is an ancien African word which means "I can't configure Debian"
Because accessor & mutator are against encapsulation (one of OOP principles), good OOP-programmers do not use them. Obviously, procedural-devs do not. In fact, only ugly-devs are still using them.
Hors ligne
#3 Le 09/09/2013, à 22:22
- nicdu40
Re : Impossible de bloquer une IP avec IPTABLES
met :
ALL: 189.19.11.85
dans /etc/hosts.deny
Hors ligne
#4 Le 10/09/2013, à 05:54
- aloyer
Re : Impossible de bloquer une IP avec IPTABLES
Haleth,
En quoi ces deux adresses sont identiques ? Je veux bien croire que cette adresse est modifiée par un DNS, mais uand j'essaye de viser plus large avec :
iptables -A INPUT -s 189.19.11.0/24 -j DROPJ'obtiens dans iptables :
DROP all -- 189-19-11-0.dsl.telesp.net.br/24 anywhereCa ressemble à rien cette adresse, non ?
Hors ligne
#5 Le 10/09/2013, à 08:51
- Haleth
Re : Impossible de bloquer une IP avec IPTABLES
90% [jack:~]dig +short -x 189.19.11.0
189-19-11-0.dsl.telesp.net.br.iptables resout les noms
Tu peux lui interdire en utilisant -n :
Please note that it is often used with the -n option, in
order to avoid long reverse DNS lookups.
Par exemple:
iptables -L -nM'enfin, ce n'est qu'une notion d'affichage: la valeur utilisé est et reste l'adresse IP 189.16.11.0 (ou le subnet)
La résolution DNS n'a qu'une valeur informative
Ubuntu is an ancien African word which means "I can't configure Debian"
Because accessor & mutator are against encapsulation (one of OOP principles), good OOP-programmers do not use them. Obviously, procedural-devs do not. In fact, only ugly-devs are still using them.
Hors ligne
#6 Le 10/09/2013, à 13:13
- tiramiseb
Re : Impossible de bloquer une IP avec IPTABLES
Salut,
Tu utilises "iptables -A INPUT" : c'est à dire que tu ajoutes une règle à la fin de la chaîne INPUT.
Es-tu sûr qu'il n'y a pas une autre règle avant qui autorise la communication ?
Que donne la commande suivante ?
iptables -nL(il nous faut le retour ENTIER et pas seulement une ligne)
Je subi depuis quelques temps des attaques d'une adresse IP du brésil
Quel genre d'attaques ? Quel est l'impact sur ton serveur ?
Sébastien Maccagnoni - https://www.maccagnoni.eu - https://www.domotego.com
Hors ligne
#7 Le 10/09/2013, à 13:37
- aloyer
Re : Impossible de bloquer une IP avec IPTABLES
Voici ce que me sort iptables -Ln
Chain INPUT (policy DROP)
target prot opt source destination
fail2ban-apache tcp -- 0.0.0.0/0 0.0.0.0/0 multiport dp orts 80,443
fail2ban-ssh-ddos tcp -- 0.0.0.0/0 0.0.0.0/0 multiport dports 22
fail2ban-ssh tcp -- 0.0.0.0/0 0.0.0.0/0 multiport dport s 22
ufw-before-logging-input all -- 0.0.0.0/0 0.0.0.0/0
ufw-before-input all -- 0.0.0.0/0 0.0.0.0/0
ufw-after-input all -- 0.0.0.0/0 0.0.0.0/0
ufw-after-logging-input all -- 0.0.0.0/0 0.0.0.0/0
ufw-reject-input all -- 0.0.0.0/0 0.0.0.0/0
ufw-track-input all -- 0.0.0.0/0 0.0.0.0/0
DROP all -- 189.19.11.85 0.0.0.0/0
DROP all -- 189.19.11.0/24 0.0.0.0/0
Chain FORWARD (policy DROP)
target prot opt source destination
ufw-before-logging-forward all -- 0.0.0.0/0 0.0.0.0/0
ufw-before-forward all -- 0.0.0.0/0 0.0.0.0/0
ufw-after-forward all -- 0.0.0.0/0 0.0.0.0/0
ufw-after-logging-forward all -- 0.0.0.0/0 0.0.0.0/0
ufw-reject-forward all -- 0.0.0.0/0 0.0.0.0/0
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
ufw-before-logging-output all -- 0.0.0.0/0 0.0.0.0/0
ufw-before-output all -- 0.0.0.0/0 0.0.0.0/0
ufw-after-output all -- 0.0.0.0/0 0.0.0.0/0
ufw-after-logging-output all -- 0.0.0.0/0 0.0.0.0/0
ufw-reject-output all -- 0.0.0.0/0 0.0.0.0/0
ufw-track-output all -- 0.0.0.0/0 0.0.0.0/0
Chain fail2ban-apache (1 references)
target prot opt source destination
RETURN all -- 0.0.0.0/0 0.0.0.0/0
Chain fail2ban-ssh (1 references)
target prot opt source destination
RETURN all -- 0.0.0.0/0 0.0.0.0/0
Chain fail2ban-ssh-ddos (1 references)
target prot opt source destination
RETURN all -- 0.0.0.0/0 0.0.0.0/0
Chain ufw-after-forward (1 references)
target prot opt source destination
Chain ufw-after-input (1 references)
target prot opt source destination
ufw-skip-to-policy-input udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:137
ufw-skip-to-policy-input udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:138
ufw-skip-to-policy-input tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:139
ufw-skip-to-policy-input tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:445
ufw-skip-to-policy-input udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:67
ufw-skip-to-policy-input udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:68
ufw-skip-to-policy-input all -- 0.0.0.0/0 0.0.0.0/0 ADD RTYPE match dst-type BROADCAST
Chain ufw-after-logging-forward (1 references)
target prot opt source destination
LOG all -- 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min b urst 10 LOG flags 0 level 4 prefix "[UFW BLOCK] "
Chain ufw-after-logging-input (1 references)
target prot opt source destination
LOG all -- 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min b urst 10 LOG flags 0 level 4 prefix "[UFW BLOCK] "
Chain ufw-after-logging-output (1 references)
target prot opt source destination
Chain ufw-after-output (1 references)
target prot opt source destination
Chain ufw-before-forward (1 references)
target prot opt source destination
ufw-user-forward all -- 0.0.0.0/0 0.0.0.0/0
Chain ufw-before-input (1 references)
target prot opt source destination
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTA BLISHED
ufw-logging-deny all -- 0.0.0.0/0 0.0.0.0/0 state INVAL ID
DROP all -- 0.0.0.0/0 0.0.0.0/0 state INVALID
ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 icmptype 3
ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 icmptype 4
ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 icmptype 11
ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 icmptype 12
ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 icmptype 8
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp spt:67 dpt:68
ufw-not-local all -- 0.0.0.0/0 0.0.0.0/0
ACCEPT udp -- 0.0.0.0/0 224.0.0.251 udp dpt:5353
ACCEPT udp -- 0.0.0.0/0 239.255.255.250 udp dpt:1900
ufw-user-input all -- 0.0.0.0/0 0.0.0.0/0
Chain ufw-before-logging-forward (1 references)
target prot opt source destination
Chain ufw-before-logging-input (1 references)
target prot opt source destination
Chain ufw-before-logging-output (1 references)
target prot opt source destination
Chain ufw-before-output (1 references)
target prot opt source destination
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTA BLISHED
ufw-user-output all -- 0.0.0.0/0 0.0.0.0/0
Chain ufw-logging-allow (0 references)
target prot opt source destination
LOG all -- 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min b urst 10 LOG flags 0 level 4 prefix "[UFW ALLOW] "
Chain ufw-logging-deny (2 references)
target prot opt source destination
RETURN all -- 0.0.0.0/0 0.0.0.0/0 state INVALID limi t: avg 3/min burst 10
LOG all -- 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min b urst 10 LOG flags 0 level 4 prefix "[UFW BLOCK] "
Chain ufw-not-local (1 references)
target prot opt source destination
RETURN all -- 0.0.0.0/0 0.0.0.0/0 ADDRTYPE match dst -type LOCAL
RETURN all -- 0.0.0.0/0 0.0.0.0/0 ADDRTYPE match dst -type MULTICAST
RETURN all -- 0.0.0.0/0 0.0.0.0/0 ADDRTYPE match dst -type BROADCAST
ufw-logging-deny all -- 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 10
DROP all -- 0.0.0.0/0 0.0.0.0/0
Chain ufw-reject-forward (1 references)
target prot opt source destination
Chain ufw-reject-input (1 references)
target prot opt source destination
Chain ufw-reject-output (1 references)
target prot opt source destination
Chain ufw-skip-to-policy-forward (0 references)
target prot opt source destination
DROP all -- 0.0.0.0/0 0.0.0.0/0
Chain ufw-skip-to-policy-input (7 references)
target prot opt source destination
DROP all -- 0.0.0.0/0 0.0.0.0/0
Chain ufw-skip-to-policy-output (0 references)
target prot opt source destination
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
Chain ufw-track-input (1 references)
target prot opt source destination
Chain ufw-track-output (1 references)
target prot opt source destination
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 state NEW
Chain ufw-user-forward (1 references)
target prot opt source destination
Chain ufw-user-input (1 references)
target prot opt source destination
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:22
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:22
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:80
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:80
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 multiport dports 1 37,138 /* 'dapp_Samba' */
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 multiport dports 1 39,445 /* 'dapp_Samba' */
ACCEPT all -- 192.0.0.0/8 0.0.0.0/0
Chain ufw-user-limit (0 references)
target prot opt source destination
LOG all -- 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min b urst 5 LOG flags 0 level 4 prefix "[UFW LIMIT BLOCK] "
REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-p ort-unreachable
Chain ufw-user-limit-accept (0 references)
target prot opt source destination
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
Chain ufw-user-logging-forward (0 references)
target prot opt source destination
Chain ufw-user-logging-input (0 references)
target prot opt source destination
Chain ufw-user-logging-output (0 references)
target prot opt source destination
Chain ufw-user-output (1 references)
target prot opt source destinationet ufw status
sudo ufw status
Ãtat : actif
Vers Action Depuis
---- ------ ------
22 ALLOW Anywhere
80 ALLOW Anywhere
Samba ALLOW Anywhere
Anywhere ALLOW 192.0.0.0/8
22 ALLOW Anywhere (v6)
80 ALLOW Anywhere (v6)
Samba (v6) ALLOW Anywhere (v6)Quel genre d'attaques ? Quel est l'impact sur ton serveur ?
Il essaye de se connecter 60x/jour en ssh sur mon serveur et fail2ban ne semble pas le bloquer.
Hors ligne
#8 Le 10/09/2013, à 13:47
- tiramiseb
Re : Impossible de bloquer une IP avec IPTABLES
Il essaye de se connecter 60x/jour
Chez moi, depuis dimanche matin :
root@ramel:/var/log# grep "authentication failure" auth.log | wc -l
4474... et sur la semaine passée :
root@ramel:/var/log# grep "authentication failure" auth.log.1 | wc -l
10032J'en fais pas tout un fromage... 
fail2ban ne semble pas le bloquer.
Est-ce que « 60 tentatives par jour « ça entre dans les critères de blocage de fail2ban ?
(pour rappel, 60 tentatives par jour, ça fait une moyenne d'une tentative toutes les 24 minutes).
sinon, par rapport à tes règles, il est clair que celles-ci passent après toutes les autres et il est possible qu'une des autres règles autorise cette connexion, auquel cas c'est normal que ça ne soit pas refusé. Je n'arrive pas à trouver précisément. Si tu veux une explication vraiment précise, on aura aussi besoin de :
iptables -vnLmais même là, il faut réussir à se dépatouiller de toutes ces règles.
En tout état de cause, tu peux remplacer "-A" par "-I" dans ta règle pour la placer devant les autres, et là la connexion sera bien refusée.
Sébastien Maccagnoni - https://www.maccagnoni.eu - https://www.domotego.com
Hors ligne
#9 Le 10/09/2013, à 13:55
- aloyer
Re : Impossible de bloquer une IP avec IPTABLES
J'en fais pas tout un fromage... smile
Tu as probablement raison, je m'inquiète pour rien, mais ça m'agace de voir toujours la même IP.
Je vais passer la règle iptables avec la commande que tu m'as donné et on verra bien.
Hors ligne
Pages : 1