Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

Impossible de bloquer une IP avec IPTABLES

aloyer

Bonjour,

Je subi depuis quelques temps des attaques d'une adresse IP du brésil. Fail2ban ne semble mettre en mettre en prison cet IP. J'ai donc créé une règle iptables pour bannir définitivement cette IP :

sudo iptables -A INPUT -s 189.19.11.85 -j DROP

Mais quand je regarde la liste des règles l'adresse IP a été transformée :

 DROP       all  --  189-19-11-85.dsl.telesp.net.br  anywhere

et du coup ça ne bloque pas cette adresse.

Pouvez vous m'aider à bannir définitivement cet IP.

Merci

Haleth

L'adresse IP n'est pas modifié, c'est la même.

Tu peux essayé de spécifier le protocole (udp / tcp), m'enfin a priori c'est bon avec la commande que tu as donné;

nicdu40

met :

ALL: 189.19.11.85

dans /etc/hosts.deny

aloyer

Haleth,

En quoi ces deux adresses sont identiques ? Je veux bien croire que cette adresse est modifiée par un DNS, mais uand j'essaye de viser plus large avec :

 iptables -A INPUT -s 189.19.11.0/24 -j DROP

J'obtiens dans iptables :

 DROP       all  --  189-19-11-0.dsl.telesp.net.br/24  anywhere

Ca ressemble à rien cette adresse, non ?

Haleth

90% [jack:~]dig +short -x 189.19.11.0
189-19-11-0.dsl.telesp.net.br.

iptables resout les noms
Tu peux lui interdire en utilisant -n :

man a écrit Please note that it is often used with the -n option, in
order to avoid long reverse DNS lookups.

Par exemple:

iptables -L -n

M'enfin, ce n'est qu'une notion d'affichage: la valeur utilisé est et reste l'adresse IP 189.16.11.0 (ou le subnet)
La résolution DNS n'a qu'une valeur informative

tiramiseb

Salut,

Tu utilises "iptables -A INPUT" : c'est à dire que tu ajoutes une règle à la fin de la chaîne INPUT.
Es-tu sûr qu'il n'y a pas une autre règle avant qui autorise la communication ?

Que donne la commande suivante ?

iptables -nL

(il nous faut le retour ENTIER et pas seulement une ligne)

Je subi depuis quelques temps des attaques d'une adresse IP du brésil

Quel genre d'attaques ? Quel est l'impact sur ton serveur ?

aloyer

Voici ce que me sort iptables -Ln

Chain INPUT (policy DROP)
target     prot opt source               destination
fail2ban-apache  tcp  --  0.0.0.0/0            0.0.0.0/0            multiport dp                           orts 80,443
fail2ban-ssh-ddos  tcp  --  0.0.0.0/0            0.0.0.0/0            multiport                            dports 22
fail2ban-ssh  tcp  --  0.0.0.0/0            0.0.0.0/0            multiport dport                           s 22
ufw-before-logging-input  all  --  0.0.0.0/0            0.0.0.0/0
ufw-before-input  all  --  0.0.0.0/0            0.0.0.0/0
ufw-after-input  all  --  0.0.0.0/0            0.0.0.0/0
ufw-after-logging-input  all  --  0.0.0.0/0            0.0.0.0/0
ufw-reject-input  all  --  0.0.0.0/0            0.0.0.0/0
ufw-track-input  all  --  0.0.0.0/0            0.0.0.0/0
DROP       all  --  189.19.11.85         0.0.0.0/0
DROP       all  --  189.19.11.0/24       0.0.0.0/0

Chain FORWARD (policy DROP)
target     prot opt source               destination
ufw-before-logging-forward  all  --  0.0.0.0/0            0.0.0.0/0
ufw-before-forward  all  --  0.0.0.0/0            0.0.0.0/0
ufw-after-forward  all  --  0.0.0.0/0            0.0.0.0/0
ufw-after-logging-forward  all  --  0.0.0.0/0            0.0.0.0/0
ufw-reject-forward  all  --  0.0.0.0/0            0.0.0.0/0

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
ufw-before-logging-output  all  --  0.0.0.0/0            0.0.0.0/0
ufw-before-output  all  --  0.0.0.0/0            0.0.0.0/0
ufw-after-output  all  --  0.0.0.0/0            0.0.0.0/0
ufw-after-logging-output  all  --  0.0.0.0/0            0.0.0.0/0
ufw-reject-output  all  --  0.0.0.0/0            0.0.0.0/0
ufw-track-output  all  --  0.0.0.0/0            0.0.0.0/0

Chain fail2ban-apache (1 references)
target     prot opt source               destination
RETURN     all  --  0.0.0.0/0            0.0.0.0/0

Chain fail2ban-ssh (1 references)
target     prot opt source               destination
RETURN     all  --  0.0.0.0/0            0.0.0.0/0

Chain fail2ban-ssh-ddos (1 references)
target     prot opt source               destination
RETURN     all  --  0.0.0.0/0            0.0.0.0/0

Chain ufw-after-forward (1 references)
target     prot opt source               destination

Chain ufw-after-input (1 references)
target     prot opt source               destination
ufw-skip-to-policy-input  udp  --  0.0.0.0/0            0.0.0.0/0            udp                            dpt:137
ufw-skip-to-policy-input  udp  --  0.0.0.0/0            0.0.0.0/0            udp                            dpt:138
ufw-skip-to-policy-input  tcp  --  0.0.0.0/0            0.0.0.0/0            tcp                            dpt:139
ufw-skip-to-policy-input  tcp  --  0.0.0.0/0            0.0.0.0/0            tcp                            dpt:445
ufw-skip-to-policy-input  udp  --  0.0.0.0/0            0.0.0.0/0            udp                            dpt:67
ufw-skip-to-policy-input  udp  --  0.0.0.0/0            0.0.0.0/0            udp                            dpt:68
ufw-skip-to-policy-input  all  --  0.0.0.0/0            0.0.0.0/0            ADD                           RTYPE match dst-type BROADCAST

Chain ufw-after-logging-forward (1 references)
target     prot opt source               destination
LOG        all  --  0.0.0.0/0            0.0.0.0/0            limit: avg 3/min b                           urst 10 LOG flags 0 level 4 prefix "[UFW BLOCK] "

Chain ufw-after-logging-input (1 references)
target     prot opt source               destination
LOG        all  --  0.0.0.0/0            0.0.0.0/0            limit: avg 3/min b                           urst 10 LOG flags 0 level 4 prefix "[UFW BLOCK] "

Chain ufw-after-logging-output (1 references)
target     prot opt source               destination

Chain ufw-after-output (1 references)
target     prot opt source               destination

Chain ufw-before-forward (1 references)
target     prot opt source               destination
ufw-user-forward  all  --  0.0.0.0/0            0.0.0.0/0

Chain ufw-before-input (1 references)
target     prot opt source               destination
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0            state RELATED,ESTA                           BLISHED
ufw-logging-deny  all  --  0.0.0.0/0            0.0.0.0/0            state INVAL                           ID
DROP       all  --  0.0.0.0/0            0.0.0.0/0            state INVALID
ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0            icmptype 3
ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0            icmptype 4
ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0            icmptype 11
ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0            icmptype 12
ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0            icmptype 8
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0            udp spt:67 dpt:68
ufw-not-local  all  --  0.0.0.0/0            0.0.0.0/0
ACCEPT     udp  --  0.0.0.0/0            224.0.0.251          udp dpt:5353
ACCEPT     udp  --  0.0.0.0/0            239.255.255.250      udp dpt:1900
ufw-user-input  all  --  0.0.0.0/0            0.0.0.0/0

Chain ufw-before-logging-forward (1 references)
target     prot opt source               destination

Chain ufw-before-logging-input (1 references)
target     prot opt source               destination

Chain ufw-before-logging-output (1 references)
target     prot opt source               destination

Chain ufw-before-output (1 references)
target     prot opt source               destination
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0            state RELATED,ESTA                           BLISHED
ufw-user-output  all  --  0.0.0.0/0            0.0.0.0/0

Chain ufw-logging-allow (0 references)
target     prot opt source               destination
LOG        all  --  0.0.0.0/0            0.0.0.0/0            limit: avg 3/min b                           urst 10 LOG flags 0 level 4 prefix "[UFW ALLOW] "

Chain ufw-logging-deny (2 references)
target     prot opt source               destination
RETURN     all  --  0.0.0.0/0            0.0.0.0/0            state INVALID limi                           t: avg 3/min burst 10
LOG        all  --  0.0.0.0/0            0.0.0.0/0            limit: avg 3/min b                           urst 10 LOG flags 0 level 4 prefix "[UFW BLOCK] "

Chain ufw-not-local (1 references)
target     prot opt source               destination
RETURN     all  --  0.0.0.0/0            0.0.0.0/0            ADDRTYPE match dst                           -type LOCAL
RETURN     all  --  0.0.0.0/0            0.0.0.0/0            ADDRTYPE match dst                           -type MULTICAST
RETURN     all  --  0.0.0.0/0            0.0.0.0/0            ADDRTYPE match dst                           -type BROADCAST
ufw-logging-deny  all  --  0.0.0.0/0            0.0.0.0/0            limit: avg                            3/min burst 10
DROP       all  --  0.0.0.0/0            0.0.0.0/0

Chain ufw-reject-forward (1 references)
target     prot opt source               destination

Chain ufw-reject-input (1 references)
target     prot opt source               destination

Chain ufw-reject-output (1 references)
target     prot opt source               destination

Chain ufw-skip-to-policy-forward (0 references)
target     prot opt source               destination
DROP       all  --  0.0.0.0/0            0.0.0.0/0

Chain ufw-skip-to-policy-input (7 references)
target     prot opt source               destination
DROP       all  --  0.0.0.0/0            0.0.0.0/0

Chain ufw-skip-to-policy-output (0 references)
target     prot opt source               destination
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0

Chain ufw-track-input (1 references)
target     prot opt source               destination

Chain ufw-track-output (1 references)
target     prot opt source               destination
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            state NEW
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0            state NEW

Chain ufw-user-forward (1 references)
target     prot opt source               destination

Chain ufw-user-input (1 references)
target     prot opt source               destination
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:22
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0            udp dpt:22
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:80
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0            udp dpt:80
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0            multiport dports 1                           37,138 /* 'dapp_Samba' */
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            multiport dports 1                           39,445 /* 'dapp_Samba' */
ACCEPT     all  --  192.0.0.0/8          0.0.0.0/0

Chain ufw-user-limit (0 references)
target     prot opt source               destination
LOG        all  --  0.0.0.0/0            0.0.0.0/0            limit: avg 3/min b                           urst 5 LOG flags 0 level 4 prefix "[UFW LIMIT BLOCK] "
REJECT     all  --  0.0.0.0/0            0.0.0.0/0            reject-with icmp-p                           ort-unreachable

Chain ufw-user-limit-accept (0 references)
target     prot opt source               destination
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0

Chain ufw-user-logging-forward (0 references)
target     prot opt source               destination

Chain ufw-user-logging-input (0 references)
target     prot opt source               destination

Chain ufw-user-logging-output (0 references)
target     prot opt source               destination

Chain ufw-user-output (1 references)
target     prot opt source               destination

et ufw status

 sudo ufw status
ÃtatÂ : actif

Vers                       Action      Depuis
----                       ------      ------
22                         ALLOW       Anywhere
80                         ALLOW       Anywhere
Samba                      ALLOW       Anywhere
Anywhere                   ALLOW       192.0.0.0/8
22                         ALLOW       Anywhere (v6)
80                         ALLOW       Anywhere (v6)
Samba (v6)                 ALLOW       Anywhere (v6)

Quel genre d'attaques ? Quel est l'impact sur ton serveur ?

Il essaye de se connecter 60x/jour en ssh sur mon serveur et fail2ban ne semble pas le bloquer.

tiramiseb

Il essaye de se connecter 60x/jour

Chez moi, depuis dimanche matin :

root@ramel:/var/log# grep "authentication failure" auth.log | wc -l
4474

... et sur la semaine passée :

root@ramel:/var/log# grep "authentication failure" auth.log.1 | wc -l
10032

J'en fais pas tout un fromage... 🙂

fail2ban ne semble pas le bloquer.

Est-ce que « 60 tentatives par jour « ça entre dans les critères de blocage de fail2ban ?
(pour rappel, 60 tentatives par jour, ça fait une moyenne d'une tentative toutes les 24 minutes).

sinon, par rapport à tes règles, il est clair que celles-ci passent après toutes les autres et il est possible qu'une des autres règles autorise cette connexion, auquel cas c'est normal que ça ne soit pas refusé. Je n'arrive pas à trouver précisément. Si tu veux une explication vraiment précise, on aura aussi besoin de :

iptables -vnL

mais même là, il faut réussir à se dépatouiller de toutes ces règles.

En tout état de cause, tu peux remplacer "-A" par "-I" dans ta règle pour la placer devant les autres, et là la connexion sera bien refusée.

aloyer

J'en fais pas tout un fromage... smile

Tu as probablement raison, je m'inquiète pour rien, mais ça m'agace de voir toujours la même IP.

Je vais passer la règle iptables avec la commande que tu m'as donné et on verra bien.