Le Mer 1 octobre 2008 14:45, Johan Dindaine a écrit : > J'en ai tellement qu'a certain moment le flood ralenti ce serveur. Je me > rappelle avoir deja vu sur la liste un programme permetant de banir une IP > apres un certain nombres d'essaie mais je n'ai pu retrouver le nom. > Pouvez vous me rappeler quel etait celui ci?
Je suis surpris que personne n'ai proposé une autre solution bien plus rapide et légère : le module "recent" de iptables qui va limiter la fréquence des tentatives. Tu peux lui dire par exemple : pas plus de trois tentatives en 60 secondes, sinon on bloque l'IP pendant 60 secondes et on note ca, mais pas plus de 10 fois par minutes C'est direct dans le noyau, sans rien de plus qu'une simple règle. Tu verra les alertes passer, mais beaucoup moins souvent, elles ne chargeront pas tes logs et les trames TCP seront éliminées au plus bas niveau (donc moins de charge). iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --set --name SSH iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 3 --rttl --name SSH -m limit --limit 10/m -j LOG iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 3 --rttl --name SSH -j DROP # Accepter les connexions SSH iptables -A INPUT -p tcp -m tcp --dport 22 --syn -j ACCEPT Fanfan -- http://www.cerbelle.net - http://www.afdm-idf.org -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
