Re: [IPTABLES] Comment lister les paquets rejet és ?
C'est un peu ça que j'aimerais arriver à faire chez moi : Lister les IP qui envoient une requête Get wp-login.php Selon la fréquence de ces requêtes dans le temps, ACCEPT ou DROP. Un hids comme Ossec te permet de créer une règle perso, pour extraire ce genre de schéma, et y appliquer le remède que tu choisis (drop, bannissement) dans le cadre de sa réponse active. Ossec utilise un paramètre timeframe qui donne à l'administrateur toute latitude pour définir le nombre de correspondances autorisées dans un laps de temps donné. www.ossec.net Ça me prend un peu la tête d'installer encore un truc, mais celui-ci fait tout de même l'effort de se mettre à la portée de mon cerveau lent : http://youtu.be/lUMs1uqwRX0 Merci pour l'info ! -- jm -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/20140608232026.GC6890@espinasse
Re: [IPTABLES] Comment lister les paquets rejet és ?
Bonjour, Le lundi 09 juin 2014, Philippe Gras a écrit... Ça me prend un peu la tête d'installer encore un truc, mais celui-ci fait tout de même l'effort de se mettre à la portée de mon cerveau lent : http://youtu.be/lUMs1uqwRX0 Merci pour l'info ! Pas de quoi. J'aime beaucoup cette application, qui fait beaucoup pour la surveillance des serveurs. J'ai vu que la dernière version était packagée Debian, quoique la compilation et l'installation des sources ne pose vraiment aucun problème (testée sur Wheezy et Jessie, et versions précédentes). Il est possible de l'utiliser en mode clients/serveur, c'est très fonctionnel. -- jm -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/20140609082306.GA30914@espinasse
Re: [IPTABLES] Comment lister les paquets rejet és ?
J'ai déjà quelques résultats sympa au niveau des accès illégitimes : === pkts bytes target prot opt in out source destination 48 4128 LOGtcp -- * * 0.0.0.0/0XXX.XXX.XXX tcp dpt:80 STRING match GET /w00tw00t.at. ALGO name bm TO 70 LOG flags 0 level 4 prefix iptables w00tw00t 00 LOGtcp -- * * 0.0.0.0/0XXX.XXX.XXX tcp dpt:80 STRING match GET /FCKeditor ALGO name bm TO 70 LOG flags 0 level 4 prefix iptables FCKeditor 20754873 LOGtcp -- * * 0.0.0.0/0XXX.XXX.XXX tcp dpt:80 STRING match Host: XXX.XXX.XXX ALGO name bm TO 70 LOG flags 0 level 4 prefix iptables IP requests 48 4128 DROP tcp -- * * 0.0.0.0/0XXX.XXX.XXX tcp dpt:80 STRING match GET /w00tw00t.at. ALGO name bm TO 70 00 DROP tcp -- * * 0.0.0.0/0XXX.XXX.XXX tcp dpt:80 STRING match GET /FCKeditor ALGO name bm TO 70 20754873 DROP tcp -- * * 0.0.0.0/0XXX.XXX.XXX tcp dpt:80 STRING match Host: XXX.XXX.XXX ALGO name bm TO 70 48 DFINDs rejetés 207 scans rejetés dimanche. :-) Le 9 juin 14 à 10:23, Jean-Michel OLTRA a écrit : Bonjour, Le lundi 09 juin 2014, Philippe Gras a écrit... Ça me prend un peu la tête d'installer encore un truc, mais celui- ci fait tout de même l'effort de se mettre à la portée de mon cerveau lent : http://youtu.be/lUMs1uqwRX0 Merci pour l'info ! Pas de quoi. J'aime beaucoup cette application, qui fait beaucoup pour la surveillance des serveurs. J'ai vu que la dernière version était packagée Debian, quoique la compilation et l'installation des sources ne pose vraiment aucun problème (testée sur Wheezy et Jessie, et versions précédentes). Il est possible de l'utiliser en mode clients/serveur, c'est très fonctionnel. -- jm -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/20140609082306.GA30914@espinasse -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/718a54dd-ed6a-47d1-9a04-fb5d0eccd...@worldonline.fr
Re: [IPTABLES] Comment lister les paquets rejet és ?
Bonjour, Tout d’abord je trouve ce topic plutôt sympa :) Je viens juste ajouter ma petite expérience sur l’administration de serveurs DISTANTS. Premièrement il ne faut laisser d’accessible que le strict minimum ! Dans le cas d’un service web (http) il ne faut donc que le 80 et peut-être le 443 en fonction des cas .. (pour le public). Le backend web je le met accessible uniquement sur le port par exemple (avec SSL!). Deux solutions, avoir un vpn dédié ou une IP fixe ou utiliser un service de DNS dynamique. (préférer le dns dynamique que l’ip fixe car il aura les memes avantages que le vpn, c’est à dire utilisable meme si vous n’êtes pas chez vous). J’ai préféré le DNS car je n’ai pas besoin de gérer les attaques sur le vpn :) Donc à partir de là, dans mes règles iptables je n’autorise que mon dyndns sur le 22 et le (backend web ssl). Comment je fais pour actualiser mon dyndns ? dans mon crontab j’ai : */40 * * * * /etc/init.d/firewall-update-dynamics /dev/null Le fichier firewall-update-dynamics va être exécuté toute les 40 minutes. et dans ce fichier on trouvera par exemple … /sbin/iptables -F INDYNAMIC /sbin/iptables -A INDYNAMIC -m tcp -p tcp --src MON-NO-IP.BIDULE --dport 22 -j ACCEPT /sbin/iptables -A INDYNAMIC -m tcp -p tcp --src MON-NO-IP.BIDULE --dport -j ACCEPT Je suis preneur de toutes remarques. Cordialement à tous et bon repos :)
Re : [IPTABLES] Comment lister les paquets rejet és ?
Et vis à vis des règles, toujours pour un service web, je serais plus d'avis à répondre par un bon 404 pour une requête demandant une ressource incorrecte simplement. Ensuite ça dépend ... Si tu n'as aucune page de login accessible en front, est-ce que le fait de répondre par un 404 simplement te coûte plus que de rejeter un packet filtré ? (Sachant que online et ovh fournissent la partie ddos). Ensuite oui, si tu as une page de connexion tu va obligatoirement logger et blacklister la source. (À savoir que ton backend n'a pas à être accessible par tout le monde). Attention aux réglages trop sophistiqués, au risque de laisser des trous dans votre muraille ou de perdre en efficacité. Cordialement. -- Florian Le lundi 9 juin 2014 à 12:26, Florian Blanc a écrit : Bonjour, Tout d’abord je trouve ce topic plutôt sympa :) Je viens juste ajouter ma petite expérience sur l’administration de serveurs DISTANTS. Premièrement il ne faut laisser d’accessible que le strict minimum ! Dans le cas d’un service web (http) il ne faut donc que le 80 et peut-être le 443 en fonction des cas .. (pour le public). Le backend web je le met accessible uniquement sur le port par exemple (avec SSL!). Deux solutions, avoir un vpn dédié ou une IP fixe ou utiliser un service de DNS dynamique. (préférer le dns dynamique que l’ip fixe car il aura les memes avantages que le vpn, c’est à dire utilisable meme si vous n’êtes pas chez vous). J’ai préféré le DNS car je n’ai pas besoin de gérer les attaques sur le vpn :) Donc à partir de là, dans mes règles iptables je n’autorise que mon dyndns sur le 22 et le (backend web ssl). Comment je fais pour actualiser mon dyndns ? dans mon crontab j’ai : */40 * * * * /etc/init.d/firewall-update-dynamics /dev/null Le fichier firewall-update-dynamics va être exécuté toute les 40 minutes. et dans ce fichier on trouvera par exemple … /sbin/iptables -F INDYNAMIC /sbin/iptables -A INDYNAMIC -m tcp -p tcp --src MON-NO-IP.BIDULE --dport 22 -j ACCEPT /sbin/iptables -A INDYNAMIC -m tcp -p tcp --src MON-NO-IP.BIDULE --dport -j ACCEPT Je suis preneur de toutes remarques. Cordialement à tous et bon repos :)
Re: Re : [IPTABLES] Comment lister les paquets rejet és ?
Le 9 juin 14 à 17:15, Florian a écrit : Et vis à vis des règles, toujours pour un service web, je serais plus d'avis à répondre par un bon 404 pour une requête demandant une ressource incorrecte simplement. Ensuite ça dépend ... Si tu n'as aucune page de login accessible en front, est-ce que le fait de répondre par un 404 simplement te coûte plus que de rejeter un packet filtré ? (Sachant que online et ovh fournissent la partie ddos). Ensuite oui, si tu as une page de connexion tu va obligatoirement logger et blacklister la source. (À savoir que ton backend n'a pas à être accessible par tout le monde). Justement oui, j'ai un login sur le site qui a été attaqué la semaine dernière, et qui a motivé mon intervention sur le serveur, l'édition des règles Iptables, et ma demande d'aide à cette liste. J'ai un login et ça m'a coûté de laisser le bot attaquer la page de login parce que je ne pouvais pratiquement plus naviguer sur le tableau de bord de l'administration de mon site. Parce que là, on n'est plus dans le cas où le robot reçoit une 40X et passe son chemin ! Comme c'est la 2ème fois que cela m'arrive, ceci sans compter les fois où ça ramait de façon anormale sans que je sache où aller chercher la bonne réponse, j'ai décidé de faire en sorte que ça n'arrive pas une 3ème fois. Je fais un peu de rédaction sur un blog qui est continuellement surchargé en backend. Je me demande maintenant si mon cas est tellement isolé que ça ;-) Attention aux réglages trop sophistiqués, au risque de laisser des trous dans votre muraille ou de perdre en efficacité. Cordialement. Là dessus, complètement d'accord ! C'est ma politique également :-) -- Florian Le lundi 9 juin 2014 à 12:26, Florian Blanc a écrit : Bonjour, Tout d’abord je trouve ce topic plutôt sympa :) Je viens juste ajouter ma petite expérience sur l’administration de serveurs DISTANTS. Premièrement il ne faut laisser d’accessible que le strict minimum ! Dans le cas d’un service web (http) il ne faut donc que le 80 et peut-être le 443 en fonction des cas .. (pour le public). Le backend web je le met accessible uniquement sur le port par exemple (avec SSL!). Deux solutions, avoir un vpn dédié ou une IP fixe ou utiliser un service de DNS dynamique. (préférer le dns dynamique que l’ip fixe car il aura les memes avantages que le vpn, c’est à dire utilisable meme si vous n’êtes pas chez vous). J’ai préféré le DNS car je n’ai pas besoin de gérer les attaques sur le vpn :) Donc à partir de là, dans mes règles iptables je n’autorise que mon dyndns sur le 22 et le (backend web ssl). Comment je fais pour actualiser mon dyndns ? dans mon crontab j’ai : */40 * * * * /etc/init.d/firewall-update- dynamics /dev/null Le fichier firewall-update-dynamics va être exécuté toute les 40 minutes. et dans ce fichier on trouvera par exemple … /sbin/iptables -F INDYNAMIC /sbin/iptables -A INDYNAMIC -m tcp -p tcp --src MON-NO-IP.BIDULE -- dport 22 -j ACCEPT /sbin/iptables -A INDYNAMIC -m tcp -p tcp --src MON-NO-IP.BIDULE -- dport -j ACCEPT Je suis preneur de toutes remarques. Cordialement à tous et bon repos :)
Re : [IPTABLES] Comment lister les paquets rejet és ?
Si je comprend bien, vous avez un serveur web avec un cms type blog et vous avez des attaques sur votre backend. Car dans ce cas là, ma solution était de mettre votre répertoire d'administration en deny pour tous port 80 dans la conf de votre apache/nginx ou autre.. Vu que pour un système de blog les lecteurs n'ont pas besoin de SSL, vous pouvez vous le réserver. Parfait alors vous mettez également votre serveur web en écoute sur le port 443. Maintenant je trouve assez sympa le principe de louer un NOIP pour que je puisse avoir un moyen de me faire identifier .. Car maintenant ma règle est simple et efficace ... Je flush ma table dynamique créer exprès. J'ai donc ma regle iptables qui vient ajouter le lookup de mon NOIP toute les 40 minutes pour le port 443. Et je laisse mon client NOIP ouvert. Sinon je sais que au pire si je tombe à un mauvais moment, il faudra que j'attende 40 minutes ce qui n'est pas bien grave comparé ce dont je me débarrasse. J'espère avoir bien compris votre situation :/ Cordialement -- Florian Le lundi 9 juin 2014 à 18:06, Philippe Gras a écrit : Le 9 juin 14 à 17:15, Florian a écrit : Et vis à vis des règles, toujours pour un service web, je serais plus d'avis à répondre par un bon 404 pour une requête demandant une ressource incorrecte simplement. Ensuite ça dépend ... Si tu n'as aucune page de login accessible en front, est-ce que le fait de répondre par un 404 simplement te coûte plus que de rejeter un packet filtré ? (Sachant que online et ovh fournissent la partie ddos). Ensuite oui, si tu as une page de connexion tu va obligatoirement logger et blacklister la source. (À savoir que ton backend n'a pas à être accessible par tout le monde). Justement oui, j'ai un login sur le site qui a été attaqué la semaine dernière, et qui a motivé mon intervention sur le serveur, l'édition des règles Iptables, et ma demande d'aide à cette liste. J'ai un login et ça m'a coûté de laisser le bot attaquer la page de login parce que je ne pouvais pratiquement plus naviguer sur le tableau de bord de l'administration de mon site. Parce que là, on n'est plus dans le cas où le robot reçoit une 40X et passe son chemin ! Comme c'est la 2ème fois que cela m'arrive, ceci sans compter les fois où ça ramait de façon anormale sans que je sache où aller chercher la bonne réponse, j'ai décidé de faire en sorte que ça n'arrive pas une 3ème fois. Je fais un peu de rédaction sur un blog qui est continuellement surchargé en backend. Je me demande maintenant si mon cas est tellement isolé que ça ;-) Attention aux réglages trop sophistiqués, au risque de laisser des trous dans votre muraille ou de perdre en efficacité. Cordialement. Là dessus, complètement d'accord ! C'est ma politique également :-) -- Florian Le lundi 9 juin 2014 à 12:26, Florian Blanc a écrit : Bonjour, Tout d’abord je trouve ce topic plutôt sympa :) Je viens juste ajouter ma petite expérience sur l’administration de serveurs DISTANTS. Premièrement il ne faut laisser d’accessible que le strict minimum ! Dans le cas d’un service web (http) il ne faut donc que le 80 et peut-être le 443 en fonction des cas .. (pour le public). Le backend web je le met accessible uniquement sur le port par exemple (avec SSL!). Deux solutions, avoir un vpn dédié ou une IP fixe ou utiliser un service de DNS dynamique. (préférer le dns dynamique que l’ip fixe car il aura les memes avantages que le vpn, c’est à dire utilisable meme si vous n’êtes pas chez vous). J’ai préféré le DNS car je n’ai pas besoin de gérer les attaques sur le vpn :) Donc à partir de là, dans mes règles iptables je n’autorise que mon dyndns sur le 22 et le (backend web ssl). Comment je fais pour actualiser mon dyndns ? dans mon crontab j’ai : */40 * * * * /etc/init.d/firewall-update-dynamics /dev/null Le fichier firewall-update-dynamics va être exécuté toute les 40 minutes. et dans ce fichier on trouvera par exemple … /sbin/iptables -F INDYNAMIC /sbin/iptables -A INDYNAMIC -m tcp -p tcp --src MON-NO-IP.BIDULE --dport 22 -j ACCEPT /sbin/iptables -A INDYNAMIC -m tcp -p tcp --src MON-NO-IP.BIDULE --dport -j ACCEPT Je suis preneur de toutes remarques. Cordialement à tous et bon repos :)
Re: Re : [IPTABLES] Comment lister les paquets rejet és ?
Le 9 juin 14 à 21:26, Florian a écrit : Si je comprend bien, vous avez un serveur web avec un cms type blog et vous avez des attaques sur votre backend. Oui, ce sont plusieurs sites montés sous Wordpress, sur un Kimsufi OVH. Car dans ce cas là, ma solution était de mettre votre répertoire d'administration en deny pour tous port 80 dans la conf de votre apache/nginx ou autre.. C'est fait pour certains, mais d'autres sont participatifs… Là, je ne peux pas. Dans 90% les attaques par brute force s'arrêtent au bout d'une dizaine de requêtes, vu qu'elles tombent toutes en 403. Mais la semaine dernière, ça a pris une autre tournure. J'ai déjà eu le même problème au mois de mars, venant sans doute de l'APL. Je suppose donc que ça va recommencer d'ici quelque temps. Vu que pour un système de blog les lecteurs n'ont pas besoin de SSL, vous pouvez vous le réserver. Parfait alors vous mettez également votre serveur web en écoute sur le port 443. Le port 433 est en DROP, sauf pour les IP qui viennent chercher mon backup. Le serveur virtuel par défaut est fermé, sauf pour mon IP pour que j'accède à la BDD. La BDD elle même est planquée, inaccessible aux intrus : = 403 Forbidden /wp-login.php: 8686 Time(s) /: 34 Time(s) /wp-login.php?action=register: 14 Time(s) /wp-comments-post.php: 13 Time(s) /myadmin/scripts/setup.php: 1 Time(s) /phpMyAdmin/scripts/setup.php: 1 Time(s) /phpmyadmin/scripts/setup.php: 1 Time(s) /pma/scripts/setup.php: 1 Time(s) […] == Ceci est un extrait du rapport de Logwatch du samedi 7 juin, il montre bien où se trouve mon problème à l'heure actuelle. S'il ne s'agissait que de la quinzaine de requêtes illégitimes à traiter, je ne me prendrais pas la tête. Mais pendant que j'y suis, je me fais la main dessus avec iptables :-) Maintenant je trouve assez sympa le principe de louer un NOIP pour que je puisse avoir un moyen de me faire identifier .. Car maintenant ma règle est simple et efficace ... Je flush ma table dynamique créer exprès. J'ai donc ma regle iptables qui vient ajouter le lookup de mon NOIP toute les 40 minutes pour le port 443. Et je laisse mon client NOIP ouvert. Sinon je sais que au pire si je tombe à un mauvais moment, il faudra que j'attende 40 minutes ce qui n'est pas bien grave comparé ce dont je me débarrasse. C'est moi qui ne comprends pas tout, LOL. Mais je ne pense pas qu'il me soit nécessaire d'en arriver à louer un autre serveur pour gérer le premier correctement. J'ai bien aimé le concept de Daniel, en recherchant les requêtes dans le vhost (… ou les logs) avec une regex, puis de relever les IP pour les rejeter ensuite dans iptables. C'est une solution qui me paraît plus légère et sympa à coder, et on peut aussi rechercher plein de chaînes de caractères différentes. Un autre truc aussi qui pose problème dans mon installation, c'est que je joue à cache-cache avec GG, donc j'ai planqué des sites chez Cloudflare. Je récupère les vraies IP des internautes avec NginX, mais pas plus avant. Il ne faudrait pas que je rejette des IP de Cloudflare avec iptables non plus. J'espère avoir bien compris votre situation :/ Cordialement -- Florian Le lundi 9 juin 2014 à 18:06, Philippe Gras a écrit : Le 9 juin 14 à 17:15, Florian a écrit : Et vis à vis des règles, toujours pour un service web, je serais plus d'avis à répondre par un bon 404 pour une requête demandant une ressource incorrecte simplement. Ensuite ça dépend ... Si tu n'as aucune page de login accessible en front, est-ce que le fait de répondre par un 404 simplement te coûte plus que de rejeter un packet filtré ? (Sachant que online et ovh fournissent la partie ddos). Ensuite oui, si tu as une page de connexion tu va obligatoirement logger et blacklister la source. (À savoir que ton backend n'a pas à être accessible par tout le monde). Justement oui, j'ai un login sur le site qui a été attaqué la semaine dernière, et qui a motivé mon intervention sur le serveur, l'édition des règles Iptables, et ma demande d'aide à cette liste. J'ai un login et ça m'a coûté de laisser le bot attaquer la page de login parce que je ne pouvais pratiquement plus naviguer sur le tableau de bord de l'administration de mon site. Parce que là, on n'est plus dans le cas où le robot reçoit une 40X et passe son chemin ! Comme c'est la 2ème fois que cela m'arrive, ceci sans compter les fois où ça ramait de façon anormale sans que je sache où aller chercher la bonne réponse, j'ai décidé de faire en sorte que ça n'arrive pas une 3ème fois. Je fais un peu de rédaction sur un blog qui est continuellement surchargé en backend. Je me demande maintenant si mon cas est tellement isolé que ça ;-) Attention aux réglages trop sophistiqués, au risque de laisser
Re: [IPTABLES] Comment lister les paquets rejet és ?
Bonjour Le Dimanche 8 Juin 2014 00:59 CEST, Philippe Gras ph.g...@worldonline.fr a écrit: Le 8 juin 14 à 00:29, Christophe a écrit : Bonjour, Le 07/06/2014 23:21, nb a écrit : Le Samedi 7 Juin 2014 23:12 CEST, Philippe Gras ph.g...@worldonline.fr a écrit: INPUT ne sert pas pour une connexion déjà établie, seulement pour l'établissement d'une connexion (paquet tcp syn) Pas tout à fait d'accord avec ça, mais rien à voir avec Debian, comme tu l'as précédemment précisé ... (c'est du noyau linux dont il est question ici). [...] J'ai l'impression que ça sert surtout en ligne de commande. Rectifiez- moi si je me trompe ! Parce que la subtilité m'échappe. Moi, j'ai un script avec des -P au début pour définir toute la police, et ensuite, je n'ai que des -A. Mais si ça se trouve, ça devrait être des -N partout ? Concernant tes règles ESTABLISHED il serait judicieux de les taper en interactif. Elles n'ont pas trop leur place dans un script après les règles INPUT. La, il va falloir que tu éclaires quelques lanternes ... ;) Oui, pourquoi ? Ce que je voulais dire, c'est que quand un script est appliqué avec les règles de DROP sur INPUT au début, il n'est pas nécessaire de faire en plus à la fin du script un DROP sur des connexions établies de même type. Puisque par définition, elles ne peuvent pas l'être car interdites. Dans le cas qui nous occupe ici, la connexion a été établie de manière antérieure au script. Du coup malgré les INPUT, la connexion restait présente. Le DROP sur ESTABLISHED devenait indispensable. Mais uniquement de manière ponctuelle. C'est pourquoi je disais qu'il fallait le faire en intéractif. Je pards bien sur du fait qu'un script a pour vocation à être re-joué plusieurs fois. L'incompréhension vient peut-être de là. J'opposais intéractif à script. Par ailleurs, même en intéractif après un '-A' ou '-I' pour la règle d'INPUT, il faut faire ensuite un '-D'. Car il n'est pas nécessaire de conserver des règles devenues inutiles. Bon dimanche -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/7fd3-53940d00-7-656c5100@207004352
Re: [IPTABLES] Comment lister les paquets rejet és ?
Bonjour, Le dimanche 08 juin 2014, Philippe Gras a écrit... J'ai l'impression que ça sert surtout en ligne de commande. Rectifiez-moi si je me trompe ! Parce que la subtilité m'échappe. Moi, j'ai un script avec des -P au début pour définir toute la police, et ensuite, je n'ai que des -A. Mais si ça se trouve, ça devrait être des -N partout ? Lorsque tu écris un script, tu écris en séquence. Donc -A, c'est logique (-N pour créer), car tu ajoutes à la règle précédente. Lorsque tu es en interactif (après un iptables -L --line-numbers par exemple), tu ajoutes avec un -I index pour insérer là où tu veux (puis un -D index pour supprimer ce que tu veux). Sinon, j'ai bien mes journaux dans /var/log/messages (c'est Debian, ça °0°) Perso, j'utilise rsyslogd avec ses possibilités de filtrage pour envoyer mes chaines préfixées avec --log-prefix dans /var/log/firewall.log (qui fait l'objet d'une rotation journalière via une entrée dans /etc/logrotate.d) -- jm -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/20140608094711.GA6890@espinasse
Re: [IPTABLES] Comment lister les paquets rejet és ?
Le 8 juin 14 à 11:47, Jean-Michel OLTRA a écrit : Bonjour, Sinon, j'ai bien mes journaux dans /var/log/messages (c'est Debian, ça °0°) Perso, j'utilise rsyslogd avec ses possibilités de filtrage pour envoyer mes chaines préfixées avec --log-prefix dans /var/log/firewall.log (qui fait l'objet d'une rotation journalière via une entrée dans /etc/logrotate.d) C'est un peu ça que j'aimerais arriver à faire chez moi : Lister les IP qui envoient une requête Get wp-login.php Selon la fréquence de ces requêtes dans le temps, ACCEPT ou DROP. -- jm -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/20140608094711.GA6890@espinasse -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/6598e822-87e3-451f-b535-a029399c1...@worldonline.fr
Re: [IPTABLES] Comment lister les paquets rejet és ?
Bonjour, Le 08/06/2014 14:02, Philippe Gras a écrit : Le 8 juin 14 à 11:47, Jean-Michel OLTRA a écrit : C'est un peu ça que j'aimerais arriver à faire chez moi : Lister les IP qui envoient une requête Get wp-login.php Selon la fréquence de ces requêtes dans le temps, ACCEPT ou DROP. -- Je pense que pour avoir des regles en fonction de la fréquence, il faut regarder du coté du module limit d'iptables A+ Denis -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/53946adb.6010...@orange.fr
Re: [IPTABLES] Comment lister les paquets rejet és ?
Le 8 juin 14 à 15:53, Denis Mugnier a écrit : Bonjour, Le 08/06/2014 14:02, Philippe Gras a écrit : Le 8 juin 14 à 11:47, Jean-Michel OLTRA a écrit : C'est un peu ça que j'aimerais arriver à faire chez moi : Lister les IP qui envoient une requête Get wp-login.php Selon la fréquence de ces requêtes dans le temps, ACCEPT ou DROP. -- Je pense que pour avoir des regles en fonction de la fréquence, il faut regarder du coté du module limit d'iptables Ce n'est pas ce que j'ai lu ici: http://www.bortzmeyer.org/rate-limiting-dos.html Malheureusement, il ne semble pas que le module recent permette d'utiliser des préfixes (par exemple de longueur 26 ou 28) mais seulement des adresses IP Mais c'est effectivement ce que je souhaitais faire au départ… A+ Denis -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/53946adb.6010...@orange.fr
Re: [IPTABLES] Comment lister les paquets rejet és ?
Je m'ai trompé de ligne : Le 8 juin 14 à 18:33, Philippe Gras a écrit : Le 8 juin 14 à 15:53, Denis Mugnier a écrit : Bonjour, Le 08/06/2014 14:02, Philippe Gras a écrit : Le 8 juin 14 à 11:47, Jean-Michel OLTRA a écrit : C'est un peu ça que j'aimerais arriver à faire chez moi : Lister les IP qui envoient une requête Get wp-login.php Selon la fréquence de ces requêtes dans le temps, ACCEPT ou DROP. -- Je pense que pour avoir des regles en fonction de la fréquence, il faut regarder du coté du module limit d'iptables Ce n'est pas ce que j'ai lu ici: http://www.bortzmeyer.org/rate-limiting-dos.html Malheureusement, il ne semble pas que le module recent permette d'utiliser des préfixes (par exemple de longueur 26 ou 28) mais seulement des adresses IP […] Ce module est très simple. Mais le module limit, comme recent, ne permet pas de travailler par préfixe IP. Mais c'est effectivement ce que je souhaitais faire au départ… A+ Denis -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/53946adb.6010...@orange.fr
Re: [IPTABLES] Comment lister les paquets rejet és ?
Bonjour, Le dimanche 08 juin 2014, Philippe Gras a écrit... C'est un peu ça que j'aimerais arriver à faire chez moi : Lister les IP qui envoient une requête Get wp-login.php Selon la fréquence de ces requêtes dans le temps, ACCEPT ou DROP. Un hids comme Ossec te permet de créer une règle perso, pour extraire ce genre de schéma, et y appliquer le remède que tu choisis (drop, bannissement) dans le cadre de sa réponse active. Ossec utilise un paramètre timeframe qui donne à l'administrateur toute latitude pour définir le nombre de correspondances autorisées dans un laps de temps donné. www.ossec.net -- jm -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/20140608232026.GC6890@espinasse
Re: [IPTABLES] Comment lister les paquets rejet és ?
Le Samedi 7 Juin 2014 23:12 CEST, Philippe Gras ph.g...@worldonline.fr a écrit: INPUT ne sert pas pour une connexion déjà établie, seulement pour l'établissement d'une connexion (paquet tcp syn) Merci de venir à mon secours :-) Autre chose que je n'ai pas bien capté : la différence entre -A (add) et -I (insert). Il faut voir A comme append. Ajout en fin de liste de règles. I, c'est un insert au début. Cooncernant tes règles ESTABLISHED il serait judicieux de les taper en interactif. Elles n'ont pas trop leur place dans un script après les règles INPUT. Bonne nuit -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/7fd0-53938280-b-46a5ca00@89467403
Re: [IPTABLES] Comment lister les paquets rejet és ?
Bonjour, Le 07/06/2014 23:21, nb a écrit : Le Samedi 7 Juin 2014 23:12 CEST, Philippe Gras ph.g...@worldonline.fr a écrit: INPUT ne sert pas pour une connexion déjà établie, seulement pour l'établissement d'une connexion (paquet tcp syn) Pas tout à fait d'accord avec ça, mais rien à voir avec Debian, comme tu l'as précédemment précisé ... (c'est du noyau linux dont il est question ici). Merci de venir à mon secours :-) Autre chose que je n'ai pas bien capté : la différence entre -A (add) et -I (insert). Il faut voir A comme append. Ajout en fin de liste de règles. I, c'est un insert au début. J'approuve. Cooncernant tes règles ESTABLISHED il serait judicieux de les taper en interactif. Elles n'ont pas trop leur place dans un script après les règles INPUT. La, il va falloir que tu éclaires quelques lanternes ... ;) @+ Christophe. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/53939237.5090...@stuxnet.org
Re: [IPTABLES] Comment lister les paquets rejet és ?
Le 08/06/2014 00:29, Christophe a écrit : Cooncernant tes règles ESTABLISHED il serait judicieux de les taper en interactif. Elles n'ont pas trop leur place dans un script après les règles INPUT. La, il va falloir que tu éclaires quelques lanternes ...;) Je suis également curieux d'entendre nb à ce sujet. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/539397ac.5000...@rootshell.tk
Re: [IPTABLES] Comment lister les paquets rejet és ?
Le 8 juin 14 à 00:29, Christophe a écrit : Bonjour, Le 07/06/2014 23:21, nb a écrit : Le Samedi 7 Juin 2014 23:12 CEST, Philippe Gras ph.g...@worldonline.fr a écrit: INPUT ne sert pas pour une connexion déjà établie, seulement pour l'établissement d'une connexion (paquet tcp syn) Pas tout à fait d'accord avec ça, mais rien à voir avec Debian, comme tu l'as précédemment précisé ... (c'est du noyau linux dont il est question ici). Merci de venir à mon secours :-) Autre chose que je n'ai pas bien capté : la différence entre -A (add) et -I (insert). Il faut voir A comme append. Ajout en fin de liste de règles. I, c'est un insert au début. J'approuve. J'ai l'impression que ça sert surtout en ligne de commande. Rectifiez- moi si je me trompe ! Parce que la subtilité m'échappe. Moi, j'ai un script avec des -P au début pour définir toute la police, et ensuite, je n'ai que des -A. Mais si ça se trouve, ça devrait être des -N partout ? Cooncernant tes règles ESTABLISHED il serait judicieux de les taper en interactif. Elles n'ont pas trop leur place dans un script après les règles INPUT. La, il va falloir que tu éclaires quelques lanternes ... ;) Oui, pourquoi ? Sinon, j'ai bien mes journaux dans /var/log/messages (c'est Debian, ça °0°) : Jun 7 23:59:01 XX kernel: iptables hashlimitIN=eth0 OUT= MAC=00:22:4d:87:b4:27:10:8c:cf:28:fe:40:08:00 SRC=108.162.229.108 DST=XXX.XXX.XXX LEN=52 TOS=0x00 PREC=0x00 TTL=59 ID=37922 DF PROTO=TCP SPT=38185 DPT=80 WINDOW=14600 RES=0x00 SYN URGP=0 Jun 7 23:59:01 XX kernel: iptables hashlimitIN=eth0 OUT= MAC=00:22:4d:87:b4:27:10:8c:cf:28:fe:40:08:00 SRC=108.162.229.111 DST=XXX.XXX.XXX LEN=52 TOS=0x00 PREC=0x00 TTL=59 ID=30464 DF PROTO=TCP SPT=38193 DPT=80 WINDOW=14600 RES=0x00 SYN URGP=0 Jun 7 23:59:01 XX kernel: iptables hashlimitIN=eth0 OUT= MAC=00:22:4d:87:b4:27:10:8c:cf:28:fe:40:08:00 SRC=108.162.229.107 DST=XXX.XXX.XXX LEN=52 TOS=0x00 PREC=0x00 TTL=59 ID=8650 DF PROTO=TCP SPT=11132 DPT=80 WINDOW=14600 RES=0x00 SYN URGP=0 Jun 7 23:59:02 XX kernel: iptables hashlimitIN=eth0 OUT= MAC=00:22:4d:87:b4:27:10:8c:cf:28:fe:40:08:00 SRC=108.162.229.108 DST=XXX.XXX.XXX LEN=52 TOS=0x00 PREC=0x00 TTL=59 ID=37923 DF PROTO=TCP SPT=38185 DPT=80 WINDOW=14600 RES=0x00 SYN URGP=0 Jun 7 23:59:02 XX kernel: iptables hashlimitIN=eth0 OUT= MAC=00:22:4d:87:b4:27:10:8c:cf:28:fe:40:08:00 SRC=108.162.229.111 DST=XXX.XXX.XXX LEN=52 TOS=0x00 PREC=0x00 TTL=59 ID=30465 DF PROTO=TCP SPT=38193 DPT=80 WINDOW=14600 RES=0x00 SYN URGP=0 Jun 7 23:59:02 XX kernel: iptables hashlimitIN=eth0 OUT= MAC=00:22:4d:87:b4:27:10:8c:cf:28:fe:40:08:00 SRC=108.162.229.107 DST=XXX.XXX.XXX LEN=52 TOS=0x00 PREC=0x00 TTL=59 ID=8651 DF PROTO=TCP SPT=11132 DPT=80 WINDOW=14600 RES=0x00 SYN URGP=0 = Ça correspond à : 2102 LOGtcp -- * * 0.0.0.0/00.0.0.0/0tcp dpt:80flags: 0x02/0x02 limit: above 3/sec burst 7 mode srcip srcmask 28 LOG flags 0 level 4 prefix iptables hashlimit == C'est parfait, merci Jean-Michel ! Les IP correspondent à celles de Cloudflare, il va falloir que je me renseigne pour les convertir, si possible… @+ Christophe. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/53939237.5090...@stuxnet.org -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/627183cd-c732-4e9c-b44b-a7103c116...@worldonline.fr