Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

Les règles Iptables ne marchent pas

Altrian

Bonjour à tous,

Dans l'optique de sécuriser un serveur j'ai installé fail2ban. Il ban correctement les IP, par contre ce que je ne comprend pas c'est que même bannie, les IP continuent d'essayer de se connecter...

2017-11-26 15:26:17,292 fail2ban.filter         [32678]: INFO    [nginx-http-auth] Found 46.101.103.120
2017-11-26 15:26:20,301 fail2ban.filter         [32678]: INFO    [nginx-http-auth] Found 46.101.103.120
2017-11-26 15:26:20,942 fail2ban.actions        [32678]: NOTICE  [nginx-http-auth] Ban 46.101.103.120
2017-11-26 15:26:21,924 fail2ban.filter         [32678]: INFO    [nginx-http-auth] Found 46.101.103.120
2017-11-26 15:29:33,065 fail2ban.filter         [32678]: INFO    [nginx-http-auth] Found 46.101.103.120

Comme on voit ici, même après le ban cette adresse IP continue ses tentatives...

Voici mes règles iptables qui correspondent à la prison (nginx), sachant que do-kl-de-frankfurt... correspond à ip 46.101.103.120. Donc Iptables reconnait bien... pourtant ça passe quand même...

Chain f2b-nginx-http-auth (1 references)
target     prot opt source               destination
REJECT     all  --  do-kl-de-frankfurt-1.northghost.com  anywhere             reject-with icmp-port-unreachable
RETURN     all  --  anywhere             anywhere

Merci !

bruno

Bonjour,

Comment est réglé le temps de bannissement (bantime) ?

Altrian

Voici le fichier jail.local (en partie) :

[DEFAULT]

ignoreip = 127.0.0.1/8
bantime  = 604800
findtime  = 3600
maxretry = 3

#
# JAILS
#


[sshd]

port    = ssh
logpath = %(sshd_log)s
backend = %(sshd_backend)s

[nginx-http-auth]

enabled = true
port    = 82
logpath = /var/log/nginx/error.log
maxretry = 10
findtime = 3600

bruno

Bizarre, les tentatives suivantes devraient effectivement être bloquées.
Il faut voir si cela persiste dans le temps. Il arrive qu'une machine initie un très grand nombre de connexions simultanément ce qui met en défaut fail2ban.

Altrian

Ok merci, je vais surveiller.