Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

Comment Bannir des IP après 3 tentatives sur n'importe quel port ?

nickthevoice

Bonjour !

J'ai UFW de configuré sur mon serveur ubuntu 12.04,

Je vois dans le SYSLOG que le même IP à fait des tentatives sur TOUT les ports depuis plusieurs jours !

J'aimerais ajouter une règle par UFW que :
Si un IP tente d'accéder plus de 3 fois sur mon serveur (peut importe le port) il est banni, mais ça devra exclure le 80 je crois puisque j'héberge des sites web. EST-CE POSSIBLE ?

MERCI D'AVANCE 🙂 !

nicK

jplemoine

Je pense que la réponse est fail2ban : ça fait ce genre de truc : au bout de n tentatives infructueuse, bannissement de x minutes.
Au bout de x bannissements de 5mn, bannissement d'1 heure.
En modifiant les paramètres, on doit pouvoir ne pas "débannir" une IP sans toutefois s'autobloquer (on peut exclure des IP du bannissement éventuel)...

Je crois que fail2ban agit sur les "iptables" : on doit donc pouvoir le faire directement mais je ne sais pas faire.

tiramiseb

Salut,

Ou, c'est exactement le rôle de fail2ban.

nickthevoice

ALLO ! 🙂

Je crois que ses petits serveur VPS 500M/20GB 1CPU perdent beaucoup de performance et de mémoire à seulement combattre les attaques venant très souvent de IP de la chine mais bon...

Présentement je vois dans mon syslog que UFW block un IP en particulier qui est étrangement (parano un peu) tout prêt de chez moi et qui essaie TOUT les ports depuis plusieurs jours, et je ne trouve pas de solution pour qu'il me foutre la PAIX !!!

Pour le moment UFW fait ce qu'il doit faire mais justement, si y'en a 100 des petits drôles comme ça, je prend de la performance !?

MERCI de votre aide sur le sujet ! 😉

nicK

tiramiseb

Tu parles de "combattre", mais ta machine ne combats rien du tout. Tu reçois des tentatives, ces tentatives sont bloquées et enregistrées dans les logs.

Bannir une IP, ce serait fermer les ports avec iptables. Mais les ports sont déjà fermés, vu que tu as les logs d'iptables (marqués "UFW"). Tu veux que ça n'apparaisse plus dans les logs ? Deux solutions :
- supprimer ce pare-feu inutile (car oui, mettre un mur devant un mur, ça ne sert à rien : un port fermé, sans logiciel en écoute, c'est un mur) ;
- demander au pare-feu de ne plus faire de logs.

S'il y a des milliers de "petits drôles comme ça", tu peux perdre en performances, mais c'est surtout ton hébergeur qui perdrait en performances, vu que tu as un VPS : le réseau risque d'être surchargé avant que ta machine ne présente un réel ralentissement. Et une centaine de "petits drôles" ne posera pas de problèmes. Sauf avec tes logs de pare-feu, vu que tu as décidé d'activer ce truc inutile.

nickthevoice

Merci pour ta réponse c'est rassurent ! 🙂

Quand tu regarde les logs y'a de quoi virer FOU avec ça mais ta façon d'expliquer me calme :cool:

MERCI 🙂

nicK

[supprimé]

Je vois dans le SYSLOG que le même IP a fait des tentatives sur TOUS les ports depuis plusieurs jours !

scanlogd+fail2ban

Cela va juste empêcher les bots de scan automatique de bas niveau; Inefficace si le scan est sélectif, temporisé.

les attaques venant très souvent de IP de la chine

malheureusement, la Chine a très mauvaise presse dans ce domaine

iptables+mod geoip