Le 8 septembre 2023 Romain a écrit :
> Non l'IP en 10.200.2.73 ne me dit rien, chez moi c'est du 192.168, ce qu'il
> se passe entre mon range chez moi et l'IP OVH, je maîtrise rien, c'est OVH
> et/ou les différents liens qu'il possède.
Oui les IP 10.x.x.x et 192.168.x.x sont des IP privées qui
Non l'IP en 10.200.2.73 ne me dit rien, chez moi c'est du 192.168, ce qu'il
se passe entre mon range chez moi et l'IP OVH, je maîtrise rien, c'est OVH
et/ou les différents liens qu'il possède.
Merci pour le lien, je vais lire cela.
Le ven. 8 sept. 2023 à 09:14, NoSpam a écrit :
>
> Le
Le 08/09/2023 à 09:11, NoSpam a écrit :
Bonjour
J'ai trouvé cela
https://community.ovh.com/t/proxmox-ip-failover-probleme-reseau-vers-orange/36874/13
La 10.200.2.73 est une IP OVH
Le 07/09/2023 à 23:38, Romain a écrit :
Je confirme que quand ça tombe, c'est le serveur OVH qui ne parvient
Bonjour
Le 07/09/2023 à 23:38, Romain a écrit :
Je confirme que quand ça tombe, c'est le serveur OVH qui ne parvient
pas à envoyer la réponse à mon réseau.
35 9.862648672 IP_PUBLIQUE_MAISON → 54.38.38.159 ICMP 78 Echo (ping)
request id=0x4b30, seq=33150/32385, ttl=1
36 9.862704895
Je confirme que quand ça tombe, c'est le serveur OVH qui ne parvient pas à
envoyer la réponse à mon réseau.
35 9.862648672 IP_PUBLIQUE_MAISON → 54.38.38.159 ICMP 78 Echo (ping)
request id=0x4b30, seq=33150/32385, ttl=1
36 9.862704895 54.38.38.159 → IP_PUBLIQUE_MAISON ICMP 106 Destination
Bonjour Romain,
Pour compléter la réponse de Michel, un "ip route get 54.38.38.159" lancé sur
rpi4 à la survenance du problème permettrait de détecter un éventuel problème
de routage sur rpi4.
Cordialement,
Thomas
7 sept. 2023 12:55:53 Romain :
> Les erreurs étaient bien (et sont encore,
Le 7 septembre 2023 Thomas Trupel a écrit :
> Pour compléter la réponse de Michel, un "ip route get 54.38.38.159"
> lancé sur rpi4 à la survenance du problème permettrait de détecter un
> éventuel problème de routage sur rpi4.
Moi je pensais au bon vieux "route -n" mais on se refait pas :)
Sinon
Oui j'ai du full stack des deux côtés.
Le jeu. 7 sept. 2023 à 13:57, zithro a écrit :
> On 07 Sep 2023 12:55, Romain wrote:
> > Les erreurs étaient bien (et sont encore, même si moins nombreuses) sur
> le
> > serveur chez OVH.
> > Pour le moment je n'arrive plus à reproduire. Comme j'échange
On 07 Sep 2023 12:55, Romain wrote:
Les erreurs étaient bien (et sont encore, même si moins nombreuses) sur le
serveur chez OVH.
Pour le moment je n'arrive plus à reproduire. Comme j'échange avec OVH en
même temps, peut-être une correction de leur côté.
A suivre.
Rah ce top posting ...
Pour
Le 7 septembre 2023 Romain a écrit :
> Pour le moment je n'arrive plus à reproduire. Comme j'échange avec OVH en
> même temps, peut-être une correction de leur côté.
J'en doute quand même. Pour faire suite aux échanges sur debian-user, il
se peut que ce soit ta box et pas rpi4 qui soit en cause.
Les erreurs étaient bien (et sont encore, même si moins nombreuses) sur le
serveur chez OVH.
Pour le moment je n'arrive plus à reproduire. Comme j'échange avec OVH en
même temps, peut-être une correction de leur côté.
A suivre.
Le jeu. 7 sept. 2023 à 12:37, Michel Verdier a écrit :
> Le 7
Le 7 septembre 2023 Romain a écrit :
> Je n'en ai aucune idée, mais :
> - le RPI4 ne reproduit ce problème que vers des IP OVH. Impossible à
> reproduire sur une IP Scaleway
> - depuis une VM hébergée sur un petit NUC branché au même switch que le
> RPI4, je ne reproduis pas le problème avec MTR
Je n'en ai aucune idée, mais :
- le RPI4 ne reproduit ce problème que vers des IP OVH. Impossible à
reproduire sur une IP Scaleway
- depuis une VM hébergée sur un petit NUC branché au même switch que le
RPI4, je ne reproduis pas le problème avec MTR
J'ai fourni les MTR à OVH, on verra bien.
Le 07/09/2023 à 11:47, Michel Verdier a écrit :
Le 7 septembre 2023 Romain a écrit :
Oui, rpi4.home est chez moi. J'essaie de reproduire avec le -n, mais ma
compréhension est-elle bonne, à savoir qu'un équipement sur la route vers
mon serveur met fin au routage ? Ca pourrait être
Le 7 septembre 2023 Romain a écrit :
> └─# mtr -r 54.38.38.159 -4
> 15.|-- mail.borezo.info 0.0%106.9 7.2 6.7 7.9 0.4
> 12.|-- rpi4.home 90.0%10 7955. 7955. 7955. 7955. 0.0
Je n'avais pas fait attention mais ton resolv change de mail.borezo.info
Le 7 septembre 2023 Romain a écrit :
> Oui, rpi4.home est chez moi. J'essaie de reproduire avec le -n, mais ma
> compréhension est-elle bonne, à savoir qu'un équipement sur la route vers
> mon serveur met fin au routage ? Ca pourrait être "l'anti-ddos" d'OVH ?
L'option -n évite le dns mais ça
gt;> 10.|-- be103.rbx-g4-nc5.fr.eu 0.0%107.5 8.4 7.1 12.1
>>> 1.7
>>> 11.|-- ??? 100.0100.0 0.0 0.0 0.0
>>> 0.0
>>> 12.|-- rpi4.home 90.0%10 7955. 7955. 7955. 7955.
>>&g
5. 7955.
>> 0.0
>>
>> Le mer. 6 sept. 2023 à 08:39, Romain a écrit :
>>
>>> Bonjour la liste,
>>>
>>> J'ai récemment réinstallé un serveur dédié (chez OVH au cas où ça puisse
>>> aider dans le diagnostic), passant de Debian 11 à Debian 1
j'ai un blocage régulier et progressif de l'IPv4 de chez moi.
>> L'accès en IPv6 ou depuis une autre IPv4 (y compris chez le même opérateur)
>> fonctionne.
>>
>> Exemple cette nuit après un reboot du serveur la veille au soir :
>> 01h43-02h13 (30 minutes)
>> 0
a pas d'outil de blocage pré-installé (pas de fail2ban par exemple)
- je n'en ai pas ajouté depuis l'installation du serveur,
uniquement apache (avec mod_security), PHP et MariaDB
- depuis l'IP de chez moi, cette nuit, les seules requêtes
générées étaient celles de ma sonde Uptime Kuma, à
veurs dédiés, il n'y a pas
> d'outil de blocage pré-installé (pas de fail2ban par exemple)
> - je n'en ai pas ajouté depuis l'installation du serveur, uniquement
> apache (avec mod_security), PHP et MariaDB
> - depuis l'IP de chez moi, cette nuit, les seules requêtes générées
> é
Le 6 septembre 2023 Romain a écrit :
> La seule piste que j'ai (en attendant le prochain blocage et la collecte de
> mtr dans l'autre sens, tcpdump & co, c'est qu'avec ethtool, je vois un taux
> d'erreur qui augmente progressivement (rx_csum_offload_errors). De là à
> dire que ces erreurs sont
>
> Sinon est-ce que ta volumétrie est lourde car il peut y avoir un bridage
> de la bande passante sur ton serveur, et donc blocage si tu dépasses tes
> quotas.
Rien de lourd, sachant que c'est illimité chez OVH (le serveur à 500/500
Mbps unmetered), et puis en cas de quota ça serait bloqué
Le 6 septembre 2023 Romain a écrit :
> Il y a bien iptables par défaut, mais :
>
> # iptables -nL
> Chain INPUT (policy ACCEPT)
> target prot opt source destination
>
> Chain FORWARD (policy ACCEPT)
> target prot opt source destination
>
> Chain OUTPUT (policy
destination
Le mer. 6 sept. 2023 à 11:19, Michel Verdier a écrit :
> Le 6 septembre 2023 Romain a écrit :
>
> > J'insiste, les ports sont ouverts. Depuis une IP source différente (quand
> > la mienne est bloquée), ça fonctionne.
>
> Je reprends en français ça sera plus simple :
Le 6 septembre 2023 Romain a écrit :
> J'insiste, les ports sont ouverts. Depuis une IP source différente (quand
> la mienne est bloquée), ça fonctionne.
Je reprends en français ça sera plus simple :)
Tu n'as pas fail2ban, mais as-tu iptables ou nftables (ou autre chose) ?
Il peut y avo
xemple cette nuit après un reboot du serveur la veille au soir :
>> > 01h43-02h13 (30 minutes)
>> > 02h26-03h26 (1 heure)
>> > 03h28-05h28 (2 heures)
>> > 05h55-? (pas encore débloqué)
>> >
>> > Problèmes :
>> > - sur le template Debian
te Debian 12 d'OVH pour les serveurs dédiés, il
n'y a
> pas d'outil de blocage pré-installé (pas de fail2ban par exemple)
> - je n'en ai pas ajouté depuis l'installation du serveur,
uniquement
> apache (avec mod_security), PHP et MariaDB
> - depuis l'IP de chez mo
26 (1 heure)
> > 03h28-05h28 (2 heures)
> > 05h55-? (pas encore débloqué)
> >
> > Problèmes :
> > - sur le template Debian 12 d'OVH pour les serveurs dédiés, il n'y a
> > pas d'outil de blocage pré-installé (pas de fail2ban par exemple)
> > - je n'en ai pas
serveurs dédiés, il n'y a
pas d'outil de blocage pré-installé (pas de fail2ban par exemple)
- je n'en ai pas ajouté depuis l'installation du serveur, uniquement
apache (avec mod_security), PHP et MariaDB
- depuis l'IP de chez moi, cette nuit, les seules requêtes générées
étaient celles de ma sonde
(pas de fail2ban par exemple)
- je n'en ai pas ajouté depuis l'installation du serveur, uniquement apache
(avec mod_security), PHP et MariaDB
- depuis l'IP de chez moi, cette nuit, les seules requêtes générées étaient
celles de ma sonde Uptime Kuma, à savoir un ping toutes les minutes, et une
requête
G2PC a écrit :
> Bonjour,
>
> Votre montée en version vers Bullseye et avec Fail2ban ce passe t'elle
> tranquillement ?
>
> De mon côté, j'observe que quelques règles ne fonctionnent plus, lié à
> la montée en version de Fail2ban.
>
> Avez vous eu également ce
Bonjour,
Votre montée en version vers Bullseye et avec Fail2ban ce passe t'elle
tranquillement ?
De mon côté, j'observe que quelques règles ne fonctionnent plus, lié à
la montée en version de Fail2ban.
Avez vous eu également cette problématique de règles Fail2ban à mettre à
jour de votre côté ?
> > Un outil de bannissement « définitif » pour ceux qui insistent
> > lourdement « multiban » répétés, basé sur l’analyse des logs de
> > Fail2ban. Vous pouvez le trouver sur l’URL suivante :
> >
> https://www.cybernaute.ch/bannir-definitivement-ip-bannies-frequemment
-BEGIN PGP SIGNED MESSAGE-
Hash: SHA512
Pierre Malard a écrit :
> Bonjour,
Bonjour,
> Je ne sais pas si cela correspond à ce que vous cherchez mais ici
> pour les serveurs sensibles nous nous appuyons en complément de
> Fail2ban qui ne banni que les IP de façon t
Charles Plessy a écrit :
> Le Thu, Apr 30, 2020 at 12:01:36PM +0200, BERTRAND Joël a écrit :
>>
>> Parce que le type est borné, que ça fait des jours que ça dure et que
>> l'IP change régulièrement. Par ailleurs, fail2ban est fait pour cela et
>> j'ai autre chos
Le Thu, Apr 30, 2020 at 12:01:36PM +0200, BERTRAND Joël a écrit :
>
> Parce que le type est borné, que ça fait des jours que ça dure et que
> l'IP change régulièrement. Par ailleurs, fail2ban est fait pour cela et
> j'ai autre chose à faire que de surveiller /var/log/syslog.
Bonjour,
Je ne sais pas si cela correspond à ce que vous cherchez mais ici pour
les serveurs sensibles nous nous appuyons en complément de Fail2ban qui
ne banni que les IP de façon temporaires 2 ajouts :
Un outil de bannissement « définitif » pour ceux qui insistent lourdement
« multiban
Nisar JAGABAR a écrit :
>
> Et pourquoi ne pas bannir manuellement cette IP ? fail2ban-client te
> permets de le faire, regarde la sortie de 'fail2ban-client --help' ou
> son man :
> bash# fail2ban-client set banip
>
> Pour le nom du JAIL, tu as une liste de ceux déjà con
Et pourquoi ne pas bannir manuellement cette IP ? fail2ban-client te
permets de le faire, regarde la sortie de 'fail2ban-client --help' ou
son man :
bash# fail2ban-client set banip
Pour le nom du JAIL, tu as une liste de ceux déjà configuré avec un
bash# fail2ban-client status
Pour les
Lorsque j'interroge directement la regex, j'obtiens ceci :
Root rayleigh:[/etc/fail2ban/filter.d] > fail2ban-client get courier-tls
failregex
The following regular expression are defined:
`- [0]:
^.*ip=\[(?:(?:::f{4,6}:)?(?P(?:\d{1,3}\.){3}\d{1,3})|\[?(?P(?:[0-9a-fA-F]{1,4}::?|::){
> Je n'en sais rien et c'est piégeux.
-> https://github.com/fail2ban/fail2ban/issues
NoSpam a écrit :
>
> Le 29/04/2020 à 11:39, BERTRAND Joël a écrit :
>> NoSpam a écrit :
>>> Le 29/04/2020 à 11:07, BERTRAND Joël a écrit :
>>>> NoSpam a écrit :
>>>>> Le 29/04/2020 à 10:09, BERTRAND Joël a écrit :
>>>>>> Bonj
G2PC a écrit :
>
>> J'ai naturellement modifié le fichier de configuration de fail2ban et
>> cette règle est chargée.
>
>
> Si ta règle match des résultats dans les logs, je suppose que la règle
> est correcte !
> Logique ?
Il me semble. Le doute que j'
Le 29/04/2020 à 11:39, BERTRAND Joël a écrit :
NoSpam a écrit :
Le 29/04/2020 à 11:07, BERTRAND Joël a écrit :
NoSpam a écrit :
Le 29/04/2020 à 10:09, BERTRAND Joël a écrit :
Bonjour à tous,
Bonjour
la version de fail2ban prend t'elle en charge ipv6 (version minimum
0.10
> J'ai naturellement modifié le fichier de configuration de fail2ban et
> cette règle est chargée.
Si ta règle match des résultats dans les logs, je suppose que la règle
est correcte !
Logique ?
Par contre, personnellement, je me trompe peut être, j'ai peu confiance
en la commande
NoSpam a écrit :
>
> Le 29/04/2020 à 11:07, BERTRAND Joël a écrit :
>> NoSpam a écrit :
>>> Le 29/04/2020 à 10:09, BERTRAND Joël a écrit :
>>>> Bonjour à tous,
>>> Bonjour
>>>
>>> la version de fail2ban prend t'elle en char
Le 29/04/2020 à 11:07, BERTRAND Joël a écrit :
NoSpam a écrit :
Le 29/04/2020 à 10:09, BERTRAND Joël a écrit :
Bonjour à tous,
Bonjour
la version de fail2ban prend t'elle en charge ipv6 (version minimum 0.10) ?
Oui : 0.10.2-2.1.
Mais mon installation fail2ban
NoSpam a écrit :
>
> Le 29/04/2020 à 10:09, BERTRAND Joël a écrit :
>> Bonjour à tous,
>
> Bonjour
>
> la version de fail2ban prend t'elle en charge ipv6 (version minimum 0.10) ?
Oui : 0.10.2-2.1.
Mais mon installation fail2ban traitait IPv6 depui
Le 29/04/2020 à 10:09, BERTRAND Joël a écrit :
Bonjour à tous,
Bonjour
la version de fail2ban prend t'elle en charge ipv6 (version minimum 0.10) ?
Depuis plus de 48 heures, je subis une attaque sur l'un de mes serveurs
de mails en provenance de Russie. Les logs sont plein
:33 rayleigh pop3d-ssl: Disconnected, ip=[:::213.217.0.213]
Et ça défile à une vitesse délirante. Je tente donc de rajouter une
règle fail2ban mais elle ne fait rien.
J'ai rajouté courier-tls.conf:
[INCLUDES]
before = common.conf
[Definition]
_daemon = (imapd-ssl|pop3d-ssl
Ok, logique.
Regarde quand même le /var/log/syslog quand tu démarre Fail2Ban…
> Le 11 juil. 2019 à 19:11, Belaïd a écrit :
>
> Salut,
>
> Comme les serveurs sont identiques, pourquoi ne pas mettre la config des
> jails dans le même dossier ? À ta place Je ferai ça dan
Salut,
Comme les serveurs sont identiques, pourquoi ne pas mettre la config des
jails dans le même dossier ? À ta place Je ferai ça dans
/etc/fail2ban/jail.d/
Le jeu. 11 juil. 2019 17:06, fab a écrit :
> salut la liste,
>
> Soient 2 serveurs quasi-identiques sur stretch à jour.
Salut,
En supposant bien entendu que tu as installé le paquet Fail2Ban de Debian et
pas un source venant du site du développeur…
Ça n’a peut-être rien à voir mais « Fail2Ban » préfère maintenant la
déclaration des déclarations de taules (« jail ») dans un répertoire spécifique
(« /etc
salut la liste,
Soient 2 serveurs quasi-identiques sur stretch à jour. fail2ban
fonctionne correctement sur le serveur B mais pas sur le serveur A. Pour
l'instant je n'ai paramétré qu'une seule prison sshd.
serveur A:
# cat defaults-debian.conf
[sshd]
port =
enabled = true
maxretry = 2
=toto
J'ai enfin trouvé une correspondance dans mail.log :
Mar 5 21:10:18 serveur imapd-ssl: LOGIN FAILED, method=PLAIN,
ip=[:::109.105.195.250]
Par contre fail2ban ne voit rien car son filtre est le suivant :
failregex = ^%(__prefix_line)sLOGIN FAILED, user=.*, ip=\[\]$
J'ai donc créé un
auth.log et ne contiennent pas d'IP. Fail2ban
est donc incapable de les détecter. Je ne vois rien dans mail.log,
mail.warn et mail.err.
Avez-vous une idée pour pouvoir bloquer ces requêtes ?
Par avance merci.
Silvère Maugain
ndre des vacances, avoir
> une vie, toussa...donc il peut être intéressant qu'une ou plusieurs
> personnes agissant en backup reçoivent aussi les notifications.
> Une des solutions possibles indépendamment des possibilités de
> fail2ban lui-même serait de mettre en place une list
sonnes agissant en backup reçoivent aussi les notifications.
Une des solutions possibles indépendamment des possibilités de
fail2ban lui-même serait de mettre en place une liste de diffusion et
d'en enregistrer l'adresse.
cordialement
Eric
destemail de fail2ban et comment le faire ?
1 _ d'une part je lis les liens que j'adresse, à défaut de tous les
suivre ...
2 _ d'autre part, la réponse est effectivement donnée _ OUI, AJOUTEZ UN
ESPACE ENTRE LES ADRESSSES.
3 _ en oûtre , évitez s.v.p. de parlez d'orthographe ou de fr
Le 14 mai 2016 à 21:25, Jean-Marc a écrit :
> Sat, 14 May 2016 15:14:13 +0200
> merkeda...@vmail.me écrivait :
>
>> *
>> il manque un tag rtfm sur la liste ; avant toute demande, il est quant
>> même souhaîtable
> En attente d'une suite favorable ?
C'est une plaisanterie ?
>
> ******
>
> https://help.ubuntu.com/community/Fail2ban
>
> https://ubuntuforums.org/showthread.php?t=1698581
> fail2ban doesn't send emails
&
?
**
https://help.ubuntu.com/community/Fail2ban
https://ubuntuforums.org/showthread.php?t=1698581
fail2ban doesn't send emails
https://www.maketecheasier.com/protect-ssh-server-with-fail2ban-ubuntu/
https://fedoraproject.org/wiki/Fail2ban_with_FirewallD
www.pontikis.net/blog/fail2ban-install
salut la liste,
Je sèche un peu.
Quelqu'un sait si on peut spécifier plusieurs adresses mails derrière
le paramètre destemail de fail2ban et comment le faire ?
Merci.
Jean-Marc <jean-m...@6jf.be>
pgp_3BinMPajV.pgp
Description: PGP signature
propriétaire du mail,
>> tente de se connecter 66 fois alors que le "maxretry=3"
>>
>> Ici, fail2ban ne joue pas son rôle, il reste insensible à ses configs.
>> (je l'avais bien relancé).
>>
>> André
>>
> Salut,
>
> En fait, le soucis s
es mail) :
>>>>
>>>> "authentication failure; logname= uid=0 euid=0 tty=dovecot
>>>> ruser=pascal.b@ rhost=212.83.40.56 : 66 Times"
>>>>
>>>> Une personne qui n'est pas le propriétaire du mail,
>>>> tente de se c
quot;maxretry=3"
Ici, fail2ban ne joue pas son rôle, il reste insensible à ses configs.
(je l'avais bien relancé).
André
Salut,
En fait, le soucis se situe directement dans la façon dont fail2ban fonctionne.
Le principe est que fail2ban scrute des fichiers de logs à la recherche de certai
Le 1 déc. 2015 à 18:57, andre_deb...@numericable.fr a écrit :
>> et en modifiant ou en ajoutant un filtre fail2ban spécifique
>> (les tentatives d'authentification sont alors toutes loggées,
>> mais le format est différent de ce que fail2ban recherche :
>
>> J
:
Fait.
> et en modifiant ou en ajoutant un filtre fail2ban spécifique
> (les tentatives d'authentification sont alors toutes loggées,
> mais le format est différent de ce que fail2ban recherche :
> J'espère que je n'ai pas été trop confus dans mes explications et je
> suis dé
; Une personne qui n'est pas le propriétaire du mail,
>>> tente de se connecter 66 fois alors que le "maxretry=3"
>>> Ici, fail2ban ne joue pas son rôle, il reste insensible à ses configs.
>>> (je l'avais bien relancé).
>
>> Cette adresse IP est-elle r
n,
> > (tentatives de connexions sur des comptes mail) :
> > "authentication failure; logname= uid=0 euid=0 tty=dovecot
> > ruser=pascal.b@ rhost=212.83.40.56 : 66 Times"
> > Une personne qui n'est pas le propriétaire du mail,
> > tente de se connecter 66 fois alo
rhost=212.83.40.56 : 66 Times"
Une personne qui n'est pas le propriétaire du mail,
tente de se connecter 66 fois alors que le "maxretry=3"
Ici, fail2ban ne joue pas son rôle, il reste insensible à ses configs.
(je l'avais bien relancé).
André
euvent avoir été envoyées en même temps, et en
masse, c'est une technique utilisée pour passer les filtres fail2ban.
>
> Une personne qui n'est pas le propriétaire du mail,
> tente de se connecter 66 fois alors que le "maxretry=3"
>
> Ici, fail2ban ne joue pas son
sur des comptes mail) :
>
> "authentication failure; logname= uid=0 euid=0 tty=dovecot
> ruser=pascal.b@ rhost=212.83.40.56 : 66 Times"
>
> Une personne qui n'est pas le propriétaire du mail,
> tente de se connecter 66 fois alors que le "maxretry=3"
>
> Ici,
Times"
> >
> > Une personne qui n'est pas le propriétaire du mail,
> > tente de se connecter 66 fois alors que le "maxretry=3"
> >
> > Ici, fail2ban ne joue pas son rôle, il reste insensible à ses
> > configs. (je l'avais bien relancé).
> &
40.56 : 66 Times"
Une personne qui n'est pas le propriétaire du mail,
tente de se connecter 66 fois alors que le "maxretry=3"
Ici, fail2ban ne joue pas son rôle, il reste insensible à ses configs.
(je l'avais bien relancé).
André
gname= uid=0 euid=0 tty=dovecot
ruser=pascal.b@ rhost=212.83.40.56 : 66 Times"
Une personne qui n'est pas le propriétaire du mail,
tente de se connecter 66 fois alors que le "maxretry=3"
Ici, fail2ban ne joue pas son rôle, il reste insensible à ses configs.
(je l'avais bien relancé).
Le 18/02/2015 00:11, Philippe Gras a écrit :
Bon, alors j'ai trouvé :
http://serverfault.com/questions/448779/have-fail2ban-send-notification-to-banned-party
Et comme bien souvent le 'banned-party' n'accepte pas les e-mails le MTA
de ta machine se retrouve pendant 5 jours à essayer d'envoyer
Le 18 févr. 15 à 10:26, Jacques Lav!gnotte. a écrit :
Le 18/02/2015 00:11, Philippe Gras a écrit :
Bon, alors j'ai trouvé :
http://serverfault.com/questions/448779/have-fail2ban-send-
notification-to-banned-party
Et comme bien souvent le 'banned-party' n'accepte pas les e-mails
le MTA
a écrit :
J'ai vu aussi qu'il existait un système pour formuler une
réclamation au registrar :
https://github.com/sergejmueller/fail2ban/blob/master/action.d/
complain.conf
Le fichier existe aussi dans ma version de fail2ban. Si quelqu'un
connaît la procédure pour le
faire fonctionner…
Bon
permanente.
Sinon, j'ai trouvé un truc marrant hier soir :
http://www.wikigento.com/securite/tarpit-iptables-les-armes-fatales-anti-ddos/
Donc si je comprends bien, au lieu de faire un DROP ou un REJECT
avec fail2ban, on pourrait appliquer un Tarpit?
--
Vincent Lefèvre vinc...@vinc17.net - Web: https
toutes à ce sous-réseau, et je bannis de manière permanente.
OK. Je faisais ça avant d'avoir installé fail2ban. Trop de
maintenance à mon goût :-)
Sinon, j'ai trouvé un truc marrant hier soir :
http://www.wikigento.com/securite/tarpit-iptables-les-armes-
fatales-anti-ddos/
Donc si je comprends
REJECT
avec fail2ban, on pourrait appliquer un Tarpit?
À ce propos, avec Google, j'ai trouvé ça:
http://blog.nicolargo.com/2012/03/bannir-les-bannis-avec-fail2ban.html
En bonus, nous allons également voir comment pourrir la bande
passante de la machine effectuant l'attaque en utilisant la règle
On 2015-02-16 16:04:23 +0100, Philippe Gras wrote:
Le 16 févr. 15 à 15:09, Vincent Lefevre a écrit :
En même temps, cela permet de repérer les adresses IP en question.
Ouais, mais qu'est-ce que tu veux prendre comme mesures avec des IP situées
en Russie ou en Chine ? C'est comme si elles
Bonjour,
Le mardi 17 février 2015, Philippe Gras a écrit...
Donc si je comprends bien, au lieu de faire un DROP ou un REJECT
avec fail2ban, on pourrait appliquer un Tarpit?
Oui, mais j'ai l'impression qu'il s'agit d'une instruction hétérodoxe, à
installer chez soi.
Ce n'est pas
Le 17 févr. 15 à 12:59, Vincent Lefevre a écrit :
On 2015-02-16 16:04:23 +0100, Philippe Gras wrote:
Le 16 févr. 15 à 15:09, Vincent Lefevre a écrit :
En même temps, cela permet de repérer les adresses IP en question.
Ouais, mais qu'est-ce que tu veux prendre comme mesures avec des
IP
On 2015-02-16 14:38:47 +0100, Philippe Gras wrote:
Le 16 févr. 15 à 14:18, Vincent Lefevre a écrit :
D'un autre côté, faire un DROP embête plus l'attaquant, qui va perdre
son temps à faire des requêtes qui n'aboutiront pas. Mais...
Non, le DROP n'embête pas plus l'attaquant que ça. Tu loues
module pour envoyer des
réclamations abuse
dans fail2ban. J'aimerais bien l'activer aussi, mais je n'ai pas trouvé
comment faire.
un abuse serait peut-être mieux. Ceci dit, je ne sais pas si
les principaux FAI concernés (en général chinois) prendraient
des mesures. Pour info, j'ai ceci dans mon
kiddies, qui te bouffent un max de ressources, mais ne te
font
pas réellement de dégâts.
Les vrais pirates, qui savent infiltrer un serveur incognito.
Il faut bien se dire que fail2ban te permet de bloquer les premiers,
et de
sauver ainsi énormément de ressources. Pour les autres…
Le
Le 16 févr. 15 à 15:09, Vincent Lefevre a écrit :
On 2015-02-16 14:38:47 +0100, Philippe Gras wrote:
Le 16 févr. 15 à 14:18, Vincent Lefevre a écrit :
D'un autre côté, faire un DROP embête plus l'attaquant, qui va
perdre
son temps à faire des requêtes qui n'aboutiront pas. Mais...
Non,
Philippe Gras a écrit :
Le 14 févr. 15 à 20:50, BERTRAND Joël a écrit :
Philippe Gras a écrit :
OKAAAYY !
Le 14 févr. 15 à 20:04, BERTRAND Joël a écrit :
Philippe Gras a écrit :
Apparemment, ça a l'air super efficace :-) Par contre je n'ai pas
très bien
compris la
signifie j'ai
bien vu ta tentative et je t'emmerde.
Oui, tu as 1.000.000 fois raison ! Il y a un module pour envoyer des
réclamations abuse
dans fail2ban. J'aimerais bien l'activer aussi, mais je n'ai pas
trouvé comment faire.
Quand elles aboutissent chez des gens sérieux perchant dans des
Le 2 févr. 15 à 15:48, BERTRAND Joël a écrit :
Philippe Gras a écrit :
Pardon de remonter ce sujet.
As-tu réussi à stopper ces attaques avec fail2ban, finalement ?
Oui, ça s'est calmé, mais il y a eu une quinzaine de jours assez
folkloriques.
Je rencontre un problème sur les
Philippe Gras a écrit :
Apparemment, ça a l'air super efficace :-) Par contre je n'ai pas très bien
compris la façon dont ça se passe et pourquoi ça décourage l'attaquant.
Parce que lorsque tu fais un DROP, l'attaquant ne sait pas si le port
est ouvert (et saturé) ou fermé, ou s'il y a même
OKAAAYY !
Le 14 févr. 15 à 20:04, BERTRAND Joël a écrit :
Philippe Gras a écrit :
Apparemment, ça a l'air super efficace :-) Par contre je n'ai pas
très bien
compris la façon dont ça se passe et pourquoi ça décourage
l'attaquant.
Parce que lorsque tu fais un
Philippe Gras a écrit :
OKAAAYY !
Le 14 févr. 15 à 20:04, BERTRAND Joël a écrit :
Philippe Gras a écrit :
Apparemment, ça a l'air super efficace :-) Par contre je n'ai pas
très bien
compris la façon dont ça se passe et pourquoi ça décourage l'attaquant.
Parce
Le 14 févr. 15 à 20:50, BERTRAND Joël a écrit :
Philippe Gras a écrit :
OKAAAYY !
Le 14 févr. 15 à 20:04, BERTRAND Joël a écrit :
Philippe Gras a écrit :
Apparemment, ça a l'air super efficace :-) Par contre je n'ai pas
très bien
compris la façon dont ça se passe
Bonjour,
Le mardi 10 février 2015 à 23:45, Philippe Gras a écrit :
Ma question, au fait ? Je redoute de modifier des trucs à l'arrache dans les
fichiers système, alors je préfère demander…
Elle n'est pas très claire ta question…
Je suppose que tu veux savoir si c'est propre de modifier
Merci de ne pas me répondre directement, je suis abonné à la liste.
Le mercredi 11 février 2015 à 11:30, judith a écrit :
Je vais parler tout les distrib que j'utilise. mais dans le principe,
ça reste identique. Pour installer Foremost, vous devez activer les
dépôts Universe et entrer la
fail2ban. J'ai eu tort ?
Seb
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet
unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas
1 - 100 sur 199 matches
Mail list logo