Re: Debian 12 - Blocage IPv4 sans fail2ban & co

Le 8 septembre 2023 Romain a écrit : > Non l'IP en 10.200.2.73 ne me dit rien, chez moi c'est du 192.168, ce qu'il > se passe entre mon range chez moi et l'IP OVH, je maîtrise rien, c'est OVH > et/ou les différents liens qu'il possède. Oui les IP 10.x.x.x et 192.168.x.x sont des IP privées qui

Re: Debian 12 - Blocage IPv4 sans fail2ban & co

Non l'IP en 10.200.2.73 ne me dit rien, chez moi c'est du 192.168, ce qu'il se passe entre mon range chez moi et l'IP OVH, je maîtrise rien, c'est OVH et/ou les différents liens qu'il possède. Merci pour le lien, je vais lire cela. Le ven. 8 sept. 2023 à 09:14, NoSpam a écrit : > > Le

Re: Debian 12 - Blocage IPv4 sans fail2ban & co

Le 08/09/2023 à 09:11, NoSpam a écrit : Bonjour J'ai trouvé cela https://community.ovh.com/t/proxmox-ip-failover-probleme-reseau-vers-orange/36874/13 La 10.200.2.73 est une IP OVH Le 07/09/2023 à 23:38, Romain a écrit : Je confirme que quand ça tombe, c'est le serveur OVH qui ne parvient

Re: Debian 12 - Blocage IPv4 sans fail2ban & co

Bonjour Le 07/09/2023 à 23:38, Romain a écrit : Je confirme que quand ça tombe, c'est le serveur OVH qui ne parvient pas à envoyer la réponse à mon réseau. 35 9.862648672 IP_PUBLIQUE_MAISON → 54.38.38.159 ICMP 78 Echo (ping) request  id=0x4b30, seq=33150/32385, ttl=1 36 9.862704895

Re: Debian 12 - Blocage IPv4 sans fail2ban & co

Je confirme que quand ça tombe, c'est le serveur OVH qui ne parvient pas à envoyer la réponse à mon réseau. 35 9.862648672 IP_PUBLIQUE_MAISON → 54.38.38.159 ICMP 78 Echo (ping) request id=0x4b30, seq=33150/32385, ttl=1 36 9.862704895 54.38.38.159 → IP_PUBLIQUE_MAISON ICMP 106 Destination

Re: Debian 12 - Blocage IPv4 sans fail2ban & co

Bonjour Romain, Pour compléter la réponse de Michel, un "ip route get 54.38.38.159" lancé sur rpi4 à la survenance du problème permettrait de détecter un éventuel problème de routage sur rpi4. Cordialement, Thomas 7 sept. 2023 12:55:53 Romain : > Les erreurs étaient bien (et sont encore,

Re: Debian 12 - Blocage IPv4 sans fail2ban & co

Le 7 septembre 2023 Thomas Trupel a écrit : > Pour compléter la réponse de Michel, un "ip route get 54.38.38.159" > lancé sur rpi4 à la survenance du problème permettrait de détecter un > éventuel problème de routage sur rpi4. Moi je pensais au bon vieux "route -n" mais on se refait pas :) Sinon

Re: Debian 12 - Blocage IPv4 sans fail2ban & co

Oui j'ai du full stack des deux côtés. Le jeu. 7 sept. 2023 à 13:57, zithro a écrit : > On 07 Sep 2023 12:55, Romain wrote: > > Les erreurs étaient bien (et sont encore, même si moins nombreuses) sur > le > > serveur chez OVH. > > Pour le moment je n'arrive plus à reproduire. Comme j'échange

Re: Debian 12 - Blocage IPv4 sans fail2ban & co

On 07 Sep 2023 12:55, Romain wrote: Les erreurs étaient bien (et sont encore, même si moins nombreuses) sur le serveur chez OVH. Pour le moment je n'arrive plus à reproduire. Comme j'échange avec OVH en même temps, peut-être une correction de leur côté. A suivre. Rah ce top posting ... Pour

Re: Debian 12 - Blocage IPv4 sans fail2ban & co

Le 7 septembre 2023 Romain a écrit : > Pour le moment je n'arrive plus à reproduire. Comme j'échange avec OVH en > même temps, peut-être une correction de leur côté. J'en doute quand même. Pour faire suite aux échanges sur debian-user, il se peut que ce soit ta box et pas rpi4 qui soit en cause.

Re: Debian 12 - Blocage IPv4 sans fail2ban & co

Les erreurs étaient bien (et sont encore, même si moins nombreuses) sur le serveur chez OVH. Pour le moment je n'arrive plus à reproduire. Comme j'échange avec OVH en même temps, peut-être une correction de leur côté. A suivre. Le jeu. 7 sept. 2023 à 12:37, Michel Verdier a écrit : > Le 7

Re: Debian 12 - Blocage IPv4 sans fail2ban & co

Le 7 septembre 2023 Romain a écrit : > Je n'en ai aucune idée, mais : > - le RPI4 ne reproduit ce problème que vers des IP OVH. Impossible à > reproduire sur une IP Scaleway > - depuis une VM hébergée sur un petit NUC branché au même switch que le > RPI4, je ne reproduis pas le problème avec MTR

Re: Debian 12 - Blocage IPv4 sans fail2ban & co

Je n'en ai aucune idée, mais : - le RPI4 ne reproduit ce problème que vers des IP OVH. Impossible à reproduire sur une IP Scaleway - depuis une VM hébergée sur un petit NUC branché au même switch que le RPI4, je ne reproduis pas le problème avec MTR J'ai fourni les MTR à OVH, on verra bien.

Re: Debian 12 - Blocage IPv4 sans fail2ban & co

Le 07/09/2023 à 11:47, Michel Verdier a écrit : Le 7 septembre 2023 Romain a écrit : Oui, rpi4.home est chez moi. J'essaie de reproduire avec le -n, mais ma compréhension est-elle bonne, à savoir qu'un équipement sur la route vers mon serveur met fin au routage ? Ca pourrait être

Re: Debian 12 - Blocage IPv4 sans fail2ban & co

Le 7 septembre 2023 Romain a écrit : > └─# mtr -r 54.38.38.159 -4 > 15.|-- mail.borezo.info 0.0%106.9 7.2 6.7 7.9 0.4 > 12.|-- rpi4.home 90.0%10 7955. 7955. 7955. 7955. 0.0 Je n'avais pas fait attention mais ton resolv change de mail.borezo.info

Re: Debian 12 - Blocage IPv4 sans fail2ban & co

Le 7 septembre 2023 Romain a écrit : > Oui, rpi4.home est chez moi. J'essaie de reproduire avec le -n, mais ma > compréhension est-elle bonne, à savoir qu'un équipement sur la route vers > mon serveur met fin au routage ? Ca pourrait être "l'anti-ddos" d'OVH ? L'option -n évite le dns mais ça

Re: Debian 12 - Blocage IPv4 sans fail2ban & co

gt;> 10.|-- be103.rbx-g4-nc5.fr.eu 0.0%107.5 8.4 7.1 12.1 >>> 1.7 >>> 11.|-- ??? 100.0100.0 0.0 0.0 0.0 >>> 0.0 >>> 12.|-- rpi4.home 90.0%10 7955. 7955. 7955. 7955. >>&g

Re: Debian 12 - Blocage IPv4 sans fail2ban & co

5. 7955. >> 0.0 >> >> Le mer. 6 sept. 2023 à 08:39, Romain a écrit : >> >>> Bonjour la liste, >>> >>> J'ai récemment réinstallé un serveur dédié (chez OVH au cas où ça puisse >>> aider dans le diagnostic), passant de Debian 11 à Debian 1

Re: Debian 12 - Blocage IPv4 sans fail2ban & co

j'ai un blocage régulier et progressif de l'IPv4 de chez moi. >> L'accès en IPv6 ou depuis une autre IPv4 (y compris chez le même opérateur) >> fonctionne. >> >> Exemple cette nuit après un reboot du serveur la veille au soir : >> 01h43-02h13 (30 minutes) >> 0

Re: Debian 12 - Blocage IPv4 sans fail2ban & co

a pas d'outil de blocage pré-installé (pas de fail2ban par exemple) - je n'en ai pas ajouté depuis l'installation du serveur, uniquement apache (avec mod_security), PHP et MariaDB - depuis l'IP de chez moi, cette nuit, les seules requêtes générées étaient celles de ma sonde Uptime Kuma, à

Re: Debian 12 - Blocage IPv4 sans fail2ban & co

veurs dédiés, il n'y a pas > d'outil de blocage pré-installé (pas de fail2ban par exemple) > - je n'en ai pas ajouté depuis l'installation du serveur, uniquement > apache (avec mod_security), PHP et MariaDB > - depuis l'IP de chez moi, cette nuit, les seules requêtes générées > é

Re: Debian 12 - Blocage IPv4 sans fail2ban & co

Le 6 septembre 2023 Romain a écrit : > La seule piste que j'ai (en attendant le prochain blocage et la collecte de > mtr dans l'autre sens, tcpdump & co, c'est qu'avec ethtool, je vois un taux > d'erreur qui augmente progressivement (rx_csum_offload_errors). De là à > dire que ces erreurs sont

Re: Debian 12 - Blocage IPv4 sans fail2ban & co

> > Sinon est-ce que ta volumétrie est lourde car il peut y avoir un bridage > de la bande passante sur ton serveur, et donc blocage si tu dépasses tes > quotas. Rien de lourd, sachant que c'est illimité chez OVH (le serveur à 500/500 Mbps unmetered), et puis en cas de quota ça serait bloqué

Re: Debian 12 - Blocage IPv4 sans fail2ban & co

Le 6 septembre 2023 Romain a écrit : > Il y a bien iptables par défaut, mais : > > # iptables -nL > Chain INPUT (policy ACCEPT) > target prot opt source destination > > Chain FORWARD (policy ACCEPT) > target prot opt source destination > > Chain OUTPUT (policy

Re: Debian 12 - Blocage IPv4 sans fail2ban & co

destination Le mer. 6 sept. 2023 à 11:19, Michel Verdier a écrit : > Le 6 septembre 2023 Romain a écrit : > > > J'insiste, les ports sont ouverts. Depuis une IP source différente (quand > > la mienne est bloquée), ça fonctionne. > > Je reprends en français ça sera plus simple :

Re: Debian 12 - Blocage IPv4 sans fail2ban & co

Le 6 septembre 2023 Romain a écrit : > J'insiste, les ports sont ouverts. Depuis une IP source différente (quand > la mienne est bloquée), ça fonctionne. Je reprends en français ça sera plus simple :) Tu n'as pas fail2ban, mais as-tu iptables ou nftables (ou autre chose) ? Il peut y avo

Re: Debian 12 - Blocage IPv4 sans fail2ban & co

xemple cette nuit après un reboot du serveur la veille au soir : >> > 01h43-02h13 (30 minutes) >> > 02h26-03h26 (1 heure) >> > 03h28-05h28 (2 heures) >> > 05h55-? (pas encore débloqué) >> > >> > Problèmes : >> > - sur le template Debian

Re: Debian 12 - Blocage IPv4 sans fail2ban & co

te Debian 12 d'OVH pour les serveurs dédiés, il n'y a > pas d'outil de blocage pré-installé (pas de fail2ban par exemple) > - je n'en ai pas ajouté depuis l'installation du serveur, uniquement > apache (avec mod_security), PHP et MariaDB > - depuis l'IP de chez mo

Re: Debian 12 - Blocage IPv4 sans fail2ban & co

26 (1 heure) > > 03h28-05h28 (2 heures) > > 05h55-? (pas encore débloqué) > > > > Problèmes : > > - sur le template Debian 12 d'OVH pour les serveurs dédiés, il n'y a > > pas d'outil de blocage pré-installé (pas de fail2ban par exemple) > > - je n'en ai pas

Re: Debian 12 - Blocage IPv4 sans fail2ban & co

serveurs dédiés, il n'y a pas d'outil de blocage pré-installé (pas de fail2ban par exemple) - je n'en ai pas ajouté depuis l'installation du serveur, uniquement apache (avec mod_security), PHP et MariaDB - depuis l'IP de chez moi, cette nuit, les seules requêtes générées étaient celles de ma sonde

Debian 12 - Blocage IPv4 sans fail2ban & co

(pas de fail2ban par exemple) - je n'en ai pas ajouté depuis l'installation du serveur, uniquement apache (avec mod_security), PHP et MariaDB - depuis l'IP de chez moi, cette nuit, les seules requêtes générées étaient celles de ma sonde Uptime Kuma, à savoir un ping toutes les minutes, et une requête

Re: Montée en version vers Bullseye - Fail2ban KO

G2PC a écrit : > Bonjour, > > Votre montée en version vers Bullseye et avec Fail2ban ce passe t'elle > tranquillement ? > > De mon côté, j'observe que quelques règles ne fonctionnent plus, lié à > la montée en version de Fail2ban. > > Avez vous eu également ce

Montée en version vers Bullseye - Fail2ban KO

Bonjour, Votre montée en version vers Bullseye et avec Fail2ban ce passe t'elle tranquillement ? De mon côté, j'observe que quelques règles ne fonctionnent plus, lié à la montée en version de Fail2ban. Avez vous eu également cette problématique de règles Fail2ban à mettre à jour de votre côté ?

Re: fail2ban regex

> > Un outil de bannissement « définitif » pour ceux qui insistent > > lourdement « multiban » répétés, basé sur l’analyse des logs de > > Fail2ban. Vous pouvez le trouver sur l’URL suivante : > > > https://www.cybernaute.ch/bannir-definitivement-ip-bannies-frequemment

Re: fail2ban regex

-BEGIN PGP SIGNED MESSAGE- Hash: SHA512 Pierre Malard a écrit : > Bonjour, Bonjour, > Je ne sais pas si cela correspond à ce que vous cherchez mais ici > pour les serveurs sensibles nous nous appuyons en complément de > Fail2ban qui ne banni que les IP de façon t

Re: fail2ban regex

Charles Plessy a écrit : > Le Thu, Apr 30, 2020 at 12:01:36PM +0200, BERTRAND Joël a écrit : >> >> Parce que le type est borné, que ça fait des jours que ça dure et que >> l'IP change régulièrement. Par ailleurs, fail2ban est fait pour cela et >> j'ai autre chos

Re: fail2ban regex

Le Thu, Apr 30, 2020 at 12:01:36PM +0200, BERTRAND Joël a écrit : > > Parce que le type est borné, que ça fait des jours que ça dure et que > l'IP change régulièrement. Par ailleurs, fail2ban est fait pour cela et > j'ai autre chose à faire que de surveiller /var/log/syslog.

Re: fail2ban regex

Bonjour, Je ne sais pas si cela correspond à ce que vous cherchez mais ici pour les serveurs sensibles nous nous appuyons en complément de Fail2ban qui ne banni que les IP de façon temporaires 2 ajouts : Un outil de bannissement « définitif » pour ceux qui insistent lourdement « multiban

Re: fail2ban regex

Nisar JAGABAR a écrit : > > Et pourquoi ne pas bannir manuellement cette IP ? fail2ban-client te > permets de le faire, regarde la sortie de 'fail2ban-client --help' ou > son man : > bash# fail2ban-client set banip > > Pour le nom du JAIL, tu as une liste de ceux déjà con

Re: fail2ban regex

Et pourquoi ne pas bannir manuellement cette IP ? fail2ban-client te permets de le faire, regarde la sortie de 'fail2ban-client --help' ou son man : bash# fail2ban-client set banip Pour le nom du JAIL, tu as une liste de ceux déjà configuré avec un bash# fail2ban-client status Pour les

Re: fail2ban regex

Lorsque j'interroge directement la regex, j'obtiens ceci : Root rayleigh:[/etc/fail2ban/filter.d] > fail2ban-client get courier-tls failregex The following regular expression are defined: `- [0]: ^.*ip=\[(?:(?:::f{4,6}:)?(?P(?:\d{1,3}\.){3}\d{1,3})|\[?(?P(?:[0-9a-fA-F]{1,4}::?|::){

Re: fail2ban regex

> Je n'en sais rien et c'est piégeux. -> https://github.com/fail2ban/fail2ban/issues

Re: fail2ban regex

NoSpam a écrit : > > Le 29/04/2020 à 11:39, BERTRAND Joël a écrit : >> NoSpam a écrit : >>> Le 29/04/2020 à 11:07, BERTRAND Joël a écrit : >>>> NoSpam a écrit : >>>>> Le 29/04/2020 à 10:09, BERTRAND Joël a écrit : >>>>>>      Bonj

Re: fail2ban regex

G2PC a écrit : > >> J'ai naturellement modifié le fichier de configuration de fail2ban et >> cette règle est chargée. > > > Si ta règle match des résultats dans les logs, je suppose que la règle > est correcte ! > Logique ? Il me semble. Le doute que j'

Re: fail2ban regex

Le 29/04/2020 à 11:39, BERTRAND Joël a écrit : NoSpam a écrit : Le 29/04/2020 à 11:07, BERTRAND Joël a écrit : NoSpam a écrit : Le 29/04/2020 à 10:09, BERTRAND Joël a écrit :  Bonjour à tous, Bonjour la version de fail2ban prend t'elle en charge ipv6 (version minimum 0.10

Re: fail2ban regex

> J'ai naturellement modifié le fichier de configuration de fail2ban et > cette règle est chargée. Si ta règle match des résultats dans les logs, je suppose que la règle est correcte ! Logique ? Par contre, personnellement, je me trompe peut être, j'ai peu confiance en la commande

Re: fail2ban regex

NoSpam a écrit : > > Le 29/04/2020 à 11:07, BERTRAND Joël a écrit : >> NoSpam a écrit : >>> Le 29/04/2020 à 10:09, BERTRAND Joël a écrit : >>>>  Bonjour à tous, >>> Bonjour >>> >>> la version de fail2ban prend t'elle en char

Re: fail2ban regex

Le 29/04/2020 à 11:07, BERTRAND Joël a écrit : NoSpam a écrit : Le 29/04/2020 à 10:09, BERTRAND Joël a écrit : Bonjour à tous, Bonjour la version de fail2ban prend t'elle en charge ipv6 (version minimum 0.10) ? Oui : 0.10.2-2.1. Mais mon installation fail2ban

Re: fail2ban regex

NoSpam a écrit : > > Le 29/04/2020 à 10:09, BERTRAND Joël a écrit : >> Bonjour à tous, > > Bonjour > > la version de fail2ban prend t'elle en charge ipv6 (version minimum 0.10) ? Oui : 0.10.2-2.1. Mais mon installation fail2ban traitait IPv6 depui

Re: fail2ban regex

Le 29/04/2020 à 10:09, BERTRAND Joël a écrit : Bonjour à tous, Bonjour la version de fail2ban prend t'elle en charge ipv6 (version minimum 0.10) ? Depuis plus de 48 heures, je subis une attaque sur l'un de mes serveurs de mails en provenance de Russie. Les logs sont plein

fail2ban regex

:33 rayleigh pop3d-ssl: Disconnected, ip=[:::213.217.0.213] Et ça défile à une vitesse délirante. Je tente donc de rajouter une règle fail2ban mais elle ne fait rien. J'ai rajouté courier-tls.conf: [INCLUDES] before = common.conf [Definition] _daemon = (imapd-ssl|pop3d-ssl

Re: fail2ban : sshd jail ne fonctionne pas (encore)

Ok, logique. Regarde quand même le /var/log/syslog quand tu démarre Fail2Ban… > Le 11 juil. 2019 à 19:11, Belaïd a écrit : > > Salut, > > Comme les serveurs sont identiques, pourquoi ne pas mettre la config des > jails dans le même dossier ? À ta place Je ferai ça dan

Re: fail2ban : sshd jail ne fonctionne pas (encore)

Salut, Comme les serveurs sont identiques, pourquoi ne pas mettre la config des jails dans le même dossier ? À ta place Je ferai ça dans /etc/fail2ban/jail.d/ Le jeu. 11 juil. 2019 17:06, fab a écrit : > salut la liste, > > Soient 2 serveurs quasi-identiques sur stretch à jour.

Re: fail2ban : sshd jail ne fonctionne pas (encore)

Salut, En supposant bien entendu que tu as installé le paquet Fail2Ban de Debian et pas un source venant du site du développeur… Ça n’a peut-être rien à voir mais « Fail2Ban » préfère maintenant la déclaration des déclarations de taules (« jail ») dans un répertoire spécifique (« /etc

fail2ban : sshd jail ne fonctionne pas (encore)

salut la liste, Soient 2 serveurs quasi-identiques sur stretch à jour. fail2ban fonctionne correctement sur le serveur B mais pas sur le serveur A. Pour l'instant je n'ai paramétré qu'une seule prison sshd. serveur A: # cat defaults-debian.conf [sshd] port = enabled = true maxretry = 2

Re: Fail2ban et IMAP

=toto J'ai enfin trouvé une correspondance dans mail.log : Mar 5 21:10:18 serveur imapd-ssl: LOGIN FAILED, method=PLAIN, ip=[:::109.105.195.250] Par contre fail2ban ne voit rien car son filtre est le suivant : failregex = ^%(__prefix_line)sLOGIN FAILED, user=.*, ip=\[\]$ J'ai donc créé un

Fail2ban et IMAP

auth.log et ne contiennent pas d'IP. Fail2ban est donc incapable de les détecter. Je ne vois rien dans mail.log, mail.warn et mail.err. Avez-vous une idée pour pouvoir bloquer ces requêtes ? Par avance merci. Silvère Maugain

Re: fail2ban - destemail et adresses multiples

ndre des vacances, avoir > une vie, toussa...donc il peut être intéressant qu'une ou plusieurs > personnes agissant en backup reçoivent aussi les notifications. > Une des solutions possibles indépendamment des possibilités de > fail2ban lui-même serait de mettre en place une list

Re: fail2ban - destemail et adresses multiples

sonnes agissant en backup reçoivent aussi les notifications. Une des solutions possibles indépendamment des possibilités de fail2ban lui-même serait de mettre en place une liste de diffusion et d'en enregistrer l'adresse. cordialement Eric

Reu: areu : areu : fail2ban - destemail et adresses multiples

destemail de fail2ban et comment le faire ? 1 _ d'une part je lis les liens que j'adresse, à défaut de tous les suivre ... 2 _ d'autre part, la réponse est effectivement donnée _ OUI, AJOUTEZ UN ESPACE ENTRE LES ADRESSSES. 3 _ en oûtre , évitez s.v.p. de parlez d'orthographe ou de fr

Re: fail2ban - destemail et adresses multiples

Le 14 mai 2016 à 21:25, Jean-Marc a écrit : > Sat, 14 May 2016 15:14:13 +0200 > merkeda...@vmail.me écrivait : > >> * >> il manque un tag rtfm sur la liste ; avant toute demande, il est quant >> même souhaîtable

Re: Re : fail2ban - destemail et adresses multiples

> En attente d'une suite favorable ? C'est une plaisanterie ? > > ****** > > https://help.ubuntu.com/community/Fail2ban > > https://ubuntuforums.org/showthread.php?t=1698581 > fail2ban doesn't send emails &

Re : fail2ban - destemail et adresses multiples

? ** https://help.ubuntu.com/community/Fail2ban https://ubuntuforums.org/showthread.php?t=1698581 fail2ban doesn't send emails https://www.maketecheasier.com/protect-ssh-server-with-fail2ban-ubuntu/ https://fedoraproject.org/wiki/Fail2ban_with_FirewallD www.pontikis.net/blog/fail2ban-install

fail2ban - destemail et adresses multiples

salut la liste, Je sèche un peu. Quelqu'un sait si on peut spécifier plusieurs adresses mails derrière le paramètre destemail de fail2ban et comment le faire ? Merci. Jean-Marc <jean-m...@6jf.be> pgp_3BinMPajV.pgp Description: PGP signature

Re: Fail2ban

propriétaire du mail, >> tente de se connecter 66 fois alors que le "maxretry=3" >> >> Ici, fail2ban ne joue pas son rôle, il reste insensible à ses configs. >> (je l'avais bien relancé). >> >> André >> > Salut, > > En fait, le soucis s

Re: Fail2ban

es mail) : >>>> >>>> "authentication failure; logname= uid=0 euid=0 tty=dovecot >>>> ruser=pascal.b@ rhost=212.83.40.56 : 66 Times" >>>> >>>> Une personne qui n'est pas le propriétaire du mail, >>>> tente de se c

Re: Fail2ban

quot;maxretry=3" Ici, fail2ban ne joue pas son rôle, il reste insensible à ses configs. (je l'avais bien relancé). André Salut, En fait, le soucis se situe directement dans la façon dont fail2ban fonctionne. Le principe est que fail2ban scrute des fichiers de logs à la recherche de certai

Re: Fail2ban

Le 1 déc. 2015 à 18:57, andre_deb...@numericable.fr a écrit : >> et en modifiant ou en ajoutant un filtre fail2ban spécifique >> (les tentatives d'authentification sont alors toutes loggées, >> mais le format est différent de ce que fail2ban recherche : > >> J

Re: Fail2ban

: Fait. > et en modifiant ou en ajoutant un filtre fail2ban spécifique > (les tentatives d'authentification sont alors toutes loggées, > mais le format est différent de ce que fail2ban recherche : > J'espère que je n'ai pas été trop confus dans mes explications et je > suis dé

Re: Fail2ban

; Une personne qui n'est pas le propriétaire du mail, >>> tente de se connecter 66 fois alors que le "maxretry=3" >>> Ici, fail2ban ne joue pas son rôle, il reste insensible à ses configs. >>> (je l'avais bien relancé). > >> Cette adresse IP est-elle r

Re: Fail2ban

n, > > (tentatives de connexions sur des comptes mail) : > > "authentication failure; logname= uid=0 euid=0 tty=dovecot > > ruser=pascal.b@ rhost=212.83.40.56 : 66 Times" > > Une personne qui n'est pas le propriétaire du mail, > > tente de se connecter 66 fois alo

Re: Fail2ban

rhost=212.83.40.56 : 66 Times" Une personne qui n'est pas le propriétaire du mail, tente de se connecter 66 fois alors que le "maxretry=3" Ici, fail2ban ne joue pas son rôle, il reste insensible à ses configs. (je l'avais bien relancé). André

Re: Fail2ban

euvent avoir été envoyées en même temps, et en masse, c'est une technique utilisée pour passer les filtres fail2ban. > > Une personne qui n'est pas le propriétaire du mail, > tente de se connecter 66 fois alors que le "maxretry=3" > > Ici, fail2ban ne joue pas son

Re: Fail2ban

sur des comptes mail) : > > "authentication failure; logname= uid=0 euid=0 tty=dovecot > ruser=pascal.b@ rhost=212.83.40.56 : 66 Times" > > Une personne qui n'est pas le propriétaire du mail, > tente de se connecter 66 fois alors que le "maxretry=3" > > Ici,

Re: Fail2ban

Times" > > > > Une personne qui n'est pas le propriétaire du mail, > > tente de se connecter 66 fois alors que le "maxretry=3" > > > > Ici, fail2ban ne joue pas son rôle, il reste insensible à ses > > configs. (je l'avais bien relancé). > &

Fail2ban

40.56 : 66 Times" Une personne qui n'est pas le propriétaire du mail, tente de se connecter 66 fois alors que le "maxretry=3" Ici, fail2ban ne joue pas son rôle, il reste insensible à ses configs. (je l'avais bien relancé). André

Re: Fail2ban

gname= uid=0 euid=0 tty=dovecot ruser=pascal.b@ rhost=212.83.40.56 : 66 Times" Une personne qui n'est pas le propriétaire du mail, tente de se connecter 66 fois alors que le "maxretry=3" Ici, fail2ban ne joue pas son rôle, il reste insensible à ses configs. (je l'avais bien relancé).

Re: [HS][up!] fail2ban

Le 18/02/2015 00:11, Philippe Gras a écrit : Bon, alors j'ai trouvé : http://serverfault.com/questions/448779/have-fail2ban-send-notification-to-banned-party Et comme bien souvent le 'banned-party' n'accepte pas les e-mails le MTA de ta machine se retrouve pendant 5 jours à essayer d'envoyer

Re: [HS][up!] fail2ban

Le 18 févr. 15 à 10:26, Jacques Lav!gnotte. a écrit : Le 18/02/2015 00:11, Philippe Gras a écrit : Bon, alors j'ai trouvé : http://serverfault.com/questions/448779/have-fail2ban-send- notification-to-banned-party Et comme bien souvent le 'banned-party' n'accepte pas les e-mails le MTA

Re: [HS][up!] fail2ban

a écrit : J'ai vu aussi qu'il existait un système pour formuler une réclamation au registrar : https://github.com/sergejmueller/fail2ban/blob/master/action.d/ complain.conf Le fichier existe aussi dans ma version de fail2ban. Si quelqu'un connaît la procédure pour le faire fonctionner… Bon

Re: [HS][up!] fail2ban

permanente. Sinon, j'ai trouvé un truc marrant hier soir : http://www.wikigento.com/securite/tarpit-iptables-les-armes-fatales-anti-ddos/ Donc si je comprends bien, au lieu de faire un DROP ou un REJECT avec fail2ban, on pourrait appliquer un Tarpit? -- Vincent Lefèvre vinc...@vinc17.net - Web: https

Re: [HS][up!] fail2ban

toutes à ce sous-réseau, et je bannis de manière permanente. OK. Je faisais ça avant d'avoir installé fail2ban. Trop de maintenance à mon goût :-) Sinon, j'ai trouvé un truc marrant hier soir : http://www.wikigento.com/securite/tarpit-iptables-les-armes- fatales-anti-ddos/ Donc si je comprends

Re: [HS][up!] fail2ban

REJECT avec fail2ban, on pourrait appliquer un Tarpit? À ce propos, avec Google, j'ai trouvé ça: http://blog.nicolargo.com/2012/03/bannir-les-bannis-avec-fail2ban.html En bonus, nous allons également voir comment pourrir la bande passante de la machine effectuant l'attaque en utilisant la règle

Re: [HS][up!] fail2ban

On 2015-02-16 16:04:23 +0100, Philippe Gras wrote: Le 16 févr. 15 à 15:09, Vincent Lefevre a écrit : En même temps, cela permet de repérer les adresses IP en question. Ouais, mais qu'est-ce que tu veux prendre comme mesures avec des IP situées en Russie ou en Chine ? C'est comme si elles

Re: [HS][up!] fail2ban

Bonjour, Le mardi 17 février 2015, Philippe Gras a écrit... Donc si je comprends bien, au lieu de faire un DROP ou un REJECT avec fail2ban, on pourrait appliquer un Tarpit? Oui, mais j'ai l'impression qu'il s'agit d'une instruction hétérodoxe, à installer chez soi. Ce n'est pas

Re: [HS][up!] fail2ban

Le 17 févr. 15 à 12:59, Vincent Lefevre a écrit : On 2015-02-16 16:04:23 +0100, Philippe Gras wrote: Le 16 févr. 15 à 15:09, Vincent Lefevre a écrit : En même temps, cela permet de repérer les adresses IP en question. Ouais, mais qu'est-ce que tu veux prendre comme mesures avec des IP

Re: [HS][up!] fail2ban

On 2015-02-16 14:38:47 +0100, Philippe Gras wrote: Le 16 févr. 15 à 14:18, Vincent Lefevre a écrit : D'un autre côté, faire un DROP embête plus l'attaquant, qui va perdre son temps à faire des requêtes qui n'aboutiront pas. Mais... Non, le DROP n'embête pas plus l'attaquant que ça. Tu loues

Re: [HS][up!] fail2ban

module pour envoyer des réclamations abuse dans fail2ban. J'aimerais bien l'activer aussi, mais je n'ai pas trouvé comment faire. un abuse serait peut-être mieux. Ceci dit, je ne sais pas si les principaux FAI concernés (en général chinois) prendraient des mesures. Pour info, j'ai ceci dans mon

Re: [HS][up!] fail2ban

kiddies, qui te bouffent un max de ressources, mais ne te font pas réellement de dégâts. Les vrais pirates, qui savent infiltrer un serveur incognito. Il faut bien se dire que fail2ban te permet de bloquer les premiers, et de sauver ainsi énormément de ressources. Pour les autres… Le

Re: [HS][up!] fail2ban

Le 16 févr. 15 à 15:09, Vincent Lefevre a écrit : On 2015-02-16 14:38:47 +0100, Philippe Gras wrote: Le 16 févr. 15 à 14:18, Vincent Lefevre a écrit : D'un autre côté, faire un DROP embête plus l'attaquant, qui va perdre son temps à faire des requêtes qui n'aboutiront pas. Mais... Non,

Re: [HS][up!] fail2ban

Philippe Gras a écrit : Le 14 févr. 15 à 20:50, BERTRAND Joël a écrit : Philippe Gras a écrit : OKAAAYY ! Le 14 févr. 15 à 20:04, BERTRAND Joël a écrit : Philippe Gras a écrit : Apparemment, ça a l'air super efficace :-) Par contre je n'ai pas très bien compris la

Re: [HS][up!] fail2ban

signifie j'ai bien vu ta tentative et je t'emmerde. Oui, tu as 1.000.000 fois raison ! Il y a un module pour envoyer des réclamations abuse dans fail2ban. J'aimerais bien l'activer aussi, mais je n'ai pas trouvé comment faire. Quand elles aboutissent chez des gens sérieux perchant dans des

Re: [HS][up!] fail2ban

Le 2 févr. 15 à 15:48, BERTRAND Joël a écrit : Philippe Gras a écrit : Pardon de remonter ce sujet. As-tu réussi à stopper ces attaques avec fail2ban, finalement ? Oui, ça s'est calmé, mais il y a eu une quinzaine de jours assez folkloriques. Je rencontre un problème sur les

Re: [HS][up!] fail2ban

Philippe Gras a écrit : Apparemment, ça a l'air super efficace :-) Par contre je n'ai pas très bien compris la façon dont ça se passe et pourquoi ça décourage l'attaquant. Parce que lorsque tu fais un DROP, l'attaquant ne sait pas si le port est ouvert (et saturé) ou fermé, ou s'il y a même

Re: [HS][up!] fail2ban

OKAAAYY ! Le 14 févr. 15 à 20:04, BERTRAND Joël a écrit : Philippe Gras a écrit : Apparemment, ça a l'air super efficace :-) Par contre je n'ai pas très bien compris la façon dont ça se passe et pourquoi ça décourage l'attaquant. Parce que lorsque tu fais un

Re: [HS][up!] fail2ban

Philippe Gras a écrit : OKAAAYY ! Le 14 févr. 15 à 20:04, BERTRAND Joël a écrit : Philippe Gras a écrit : Apparemment, ça a l'air super efficace :-) Par contre je n'ai pas très bien compris la façon dont ça se passe et pourquoi ça décourage l'attaquant. Parce

Re: [HS][up!] fail2ban

Le 14 févr. 15 à 20:50, BERTRAND Joël a écrit : Philippe Gras a écrit : OKAAAYY ! Le 14 févr. 15 à 20:04, BERTRAND Joël a écrit : Philippe Gras a écrit : Apparemment, ça a l'air super efficace :-) Par contre je n'ai pas très bien compris la façon dont ça se passe

Re: [fail2ban][Argh!] bidouiller les fichiers système

Bonjour, Le mardi 10 février 2015 à 23:45, Philippe Gras a écrit : Ma question, au fait ? Je redoute de modifier des trucs à l'arrache dans les fichiers système, alors je préfère demander… Elle n'est pas très claire ta question… Je suppose que tu veux savoir si c'est propre de modifier

Re: [fail2ban][Argh!] bidouiller les fichiers système

Merci de ne pas me répondre directement, je suis abonné à la liste. Le mercredi 11 février 2015 à 11:30, judith a écrit : Je vais parler tout les distrib que j'utilise. mais dans le principe, ça reste identique. Pour installer Foremost, vous devez activer les dépôts Universe et entrer la

Re: [fail2ban][Argh!] bidouiller les fichiers système

fail2ban. J'ai eu tort ? Seb -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas

  1   2   >