Bonjour De mon expérience avec fail2banet ssh, dans une situation similaire (NAT derrière une box) les IP des attaquants sont celles venant de l'extérieur. Donc si dans les logs les ip appartiennent au réseau local, c'est que l'attaquant s'y trouve, ou bien utilise une machine locale pour effectuer ses attaques.
Idem que précédemment, fail2ban enregistre de nombreuses attaques par heure en permanence. Le mar. 22 févr. 2022 à 12:29, Belaïd <[email protected]> a écrit : > Bonjour, > > C'est possible que ça vienne de l'extérieur (a l'époque ca pouvait être > une attaque par IP spoofing/paquet martien). Mais ça ne ce fait plus trop > de nos jours , les routeurs/firewall savent gérer cela > > Le mar. 22 févr. 2022 à 11:50, Sil <[email protected]> a écrit : > >> Le 22/02/2022 à 09:27, Sil a écrit : >> > /var/log/auth.log.2.gz:Feb 7 09:34:58 monserveur sshd[XXXX]: >> > Disconnected from invalid user Admin 192.168.X.X port XXXX [preauth] >> >> Mais est-ce que l'IP du fichier log peut provenir de l’extérieur ? Ou >> est-ce impossible ? >> >> Est-il possible de différencier les connexions nattées de la box et >> celles du réseau local ? >> >> Merci >> >> Sil >> >>
