Olivier a écrit :
> Quelques pistes:
> - soit n'arrive pas à accéder à une ressources parce qu'une autre
> instance de fail2ban ou d'un service, a déjà l'accès exclusif à cette
> ressource
> - soit un simple problème de droits d'accès sur cette ressource
Quelques pistes:
- soit n'arrive pas à accéder à une ressources parce qu'une autre
instance de fail2ban ou d'un service, a déjà l'accès exclusif à cette
ressource
- soit un simple problème de droits d'accès sur cette ressource
(droits sur le fichier, son répertoire,
Bonjour à tous,
Je viens de mettre un serveur de test à jour et fail2ban râle. Je ne
vois pas ce qui ne lui plaît pas d'autant qu'il n'est pas verbeux.
Ma configuration fail2ban fonctionne parfaitement avec la version
1.0.2-2. Avec la version poussée dans t
Le 8 septembre 2023 Romain a écrit :
> Non l'IP en 10.200.2.73 ne me dit rien, chez moi c'est du 192.168, ce qu'il
> se passe entre mon range chez moi et l'IP OVH, je maîtrise rien, c'est OVH
> et/ou les différents liens qu'il possède.
Oui les IP 10.x.x.x et 192.168.x.x sont des IP privées qui ne
Non l'IP en 10.200.2.73 ne me dit rien, chez moi c'est du 192.168, ce qu'il
se passe entre mon range chez moi et l'IP OVH, je maîtrise rien, c'est OVH
et/ou les différents liens qu'il possède.
Merci pour le lien, je vais lire cela.
Le ven. 8 sept. 2023 à 09:14, NoSpam a écrit :
>
> Le 08/09/2023
Le 08/09/2023 à 09:11, NoSpam a écrit :
Bonjour
J'ai trouvé cela
https://community.ovh.com/t/proxmox-ip-failover-probleme-reseau-vers-orange/36874/13
La 10.200.2.73 est une IP OVH
Le 07/09/2023 à 23:38, Romain a écrit :
Je confirme que quand ça tombe, c'est le serveur OVH qui ne parvient
Bonjour
Le 07/09/2023 à 23:38, Romain a écrit :
Je confirme que quand ça tombe, c'est le serveur OVH qui ne parvient
pas à envoyer la réponse à mon réseau.
35 9.862648672 IP_PUBLIQUE_MAISON → 54.38.38.159 ICMP 78 Echo (ping)
request id=0x4b30, seq=33150/32385, ttl=1
36 9.862704895 54.38.38.1
Je confirme que quand ça tombe, c'est le serveur OVH qui ne parvient pas à
envoyer la réponse à mon réseau.
35 9.862648672 IP_PUBLIQUE_MAISON → 54.38.38.159 ICMP 78 Echo (ping)
request id=0x4b30, seq=33150/32385, ttl=1
36 9.862704895 54.38.38.159 → IP_PUBLIQUE_MAISON ICMP 106 Destination
unreacha
Bonjour Romain,
Pour compléter la réponse de Michel, un "ip route get 54.38.38.159" lancé sur
rpi4 à la survenance du problème permettrait de détecter un éventuel problème
de routage sur rpi4.
Cordialement,
Thomas
7 sept. 2023 12:55:53 Romain :
> Les erreurs étaient bien (et sont encore, même
Le 7 septembre 2023 Thomas Trupel a écrit :
> Pour compléter la réponse de Michel, un "ip route get 54.38.38.159"
> lancé sur rpi4 à la survenance du problème permettrait de détecter un
> éventuel problème de routage sur rpi4.
Moi je pensais au bon vieux "route -n" mais on se refait pas :)
Sinon
Oui j'ai du full stack des deux côtés.
Le jeu. 7 sept. 2023 à 13:57, zithro a écrit :
> On 07 Sep 2023 12:55, Romain wrote:
> > Les erreurs étaient bien (et sont encore, même si moins nombreuses) sur
> le
> > serveur chez OVH.
> > Pour le moment je n'arrive plus à reproduire. Comme j'échange ave
On 07 Sep 2023 12:55, Romain wrote:
Les erreurs étaient bien (et sont encore, même si moins nombreuses) sur le
serveur chez OVH.
Pour le moment je n'arrive plus à reproduire. Comme j'échange avec OVH en
même temps, peut-être une correction de leur côté.
A suivre.
Rah ce top posting ...
Pour i
Le 7 septembre 2023 Romain a écrit :
> Pour le moment je n'arrive plus à reproduire. Comme j'échange avec OVH en
> même temps, peut-être une correction de leur côté.
J'en doute quand même. Pour faire suite aux échanges sur debian-user, il
se peut que ce soit ta box et pas rpi4 qui soit en cause.
Les erreurs étaient bien (et sont encore, même si moins nombreuses) sur le
serveur chez OVH.
Pour le moment je n'arrive plus à reproduire. Comme j'échange avec OVH en
même temps, peut-être une correction de leur côté.
A suivre.
Le jeu. 7 sept. 2023 à 12:37, Michel Verdier a écrit :
> Le 7 septem
Le 7 septembre 2023 Romain a écrit :
> Je n'en ai aucune idée, mais :
> - le RPI4 ne reproduit ce problème que vers des IP OVH. Impossible à
> reproduire sur une IP Scaleway
> - depuis une VM hébergée sur un petit NUC branché au même switch que le
> RPI4, je ne reproduis pas le problème avec MTR
>
Je n'en ai aucune idée, mais :
- le RPI4 ne reproduit ce problème que vers des IP OVH. Impossible à
reproduire sur une IP Scaleway
- depuis une VM hébergée sur un petit NUC branché au même switch que le
RPI4, je ne reproduis pas le problème avec MTR
J'ai fourni les MTR à OVH, on verra bien. Peut-ê
Le 07/09/2023 à 11:47, Michel Verdier a écrit :
Le 7 septembre 2023 Romain a écrit :
Oui, rpi4.home est chez moi. J'essaie de reproduire avec le -n, mais ma
compréhension est-elle bonne, à savoir qu'un équipement sur la route vers
mon serveur met fin au routage ? Ca pourrait être "l'anti-ddos
Le 7 septembre 2023 Romain a écrit :
> └─# mtr -r 54.38.38.159 -4
> 15.|-- mail.borezo.info 0.0%106.9 7.2 6.7 7.9 0.4
> 12.|-- rpi4.home 90.0%10 7955. 7955. 7955. 7955. 0.0
Je n'avais pas fait attention mais ton resolv change de mail.borezo.info
Le 7 septembre 2023 Romain a écrit :
> Oui, rpi4.home est chez moi. J'essaie de reproduire avec le -n, mais ma
> compréhension est-elle bonne, à savoir qu'un équipement sur la route vers
> mon serveur met fin au routage ? Ca pourrait être "l'anti-ddos" d'OVH ?
L'option -n évite le dns mais ça n'a
100.0 0.0 0.0 0.0
>>> 0.0
>>> 10.|-- be103.rbx-g4-nc5.fr.eu 0.0%107.5 8.4 7.1 12.1
>>> 1.7
>>> 11.|-- ??? 100.0100.0 0.0 0.0 0.0
>>> 0.0
>>> 12.|-- rpi4.home
90.0%10 7955. 7955. 7955. 7955.
>> 0.0
>>
>> Le mer. 6 sept. 2023 à 08:39, Romain a écrit :
>>
>>> Bonjour la liste,
>>>
>>> J'ai récemment réinstallé un serveur dédié (chez OVH au cas où ça puisse
>>> aider da
e Debian 11 à Debian 12.
>>
>> Depuis, j'ai un blocage régulier et progressif de l'IPv4 de chez moi.
>> L'accès en IPv6 ou depuis une autre IPv4 (y compris chez le même opérateur)
>> fonctionne.
>>
>> Exemple cette nuit après un reboot du serveur
12 d'OVH pour les serveurs dédiés, il n'y
a pas d'outil de blocage pré-installé (pas de fail2ban par exemple)
- je n'en ai pas ajouté depuis l'installation du serveur,
uniquement apache (avec mod_security), PHP et MariaDB
- depuis l'IP de chez moi, cette nuit,
le template Debian 12 d'OVH pour les serveurs dédiés, il n'y a pas
> d'outil de blocage pré-installé (pas de fail2ban par exemple)
> - je n'en ai pas ajouté depuis l'installation du serveur, uniquement
> apache (avec mod_security), PHP et MariaDB
> - depuis
Le 6 septembre 2023 Romain a écrit :
> La seule piste que j'ai (en attendant le prochain blocage et la collecte de
> mtr dans l'autre sens, tcpdump & co, c'est qu'avec ethtool, je vois un taux
> d'erreur qui augmente progressivement (rx_csum_offload_errors). De là à
> dire que ces erreurs sont gén
>
> Sinon est-ce que ta volumétrie est lourde car il peut y avoir un bridage
> de la bande passante sur ton serveur, et donc blocage si tu dépasses tes
> quotas.
Rien de lourd, sachant que c'est illimité chez OVH (le serveur à 500/500
Mbps unmetered), et puis en cas de quota ça serait bloqué part
Le 6 septembre 2023 Romain a écrit :
> Il y a bien iptables par défaut, mais :
>
> # iptables -nL
> Chain INPUT (policy ACCEPT)
> target prot opt source destination
>
> Chain FORWARD (policy ACCEPT)
> target prot opt source destination
>
> Chain OUTPUT (policy A
destination
Le mer. 6 sept. 2023 à 11:19, Michel Verdier a écrit :
> Le 6 septembre 2023 Romain a écrit :
>
> > J'insiste, les ports sont ouverts. Depuis une IP source différente (quand
> > la mienne est bloquée), ça fonctionne.
>
> Je reprends en français ça sera plus sim
Le 6 septembre 2023 Romain a écrit :
> J'insiste, les ports sont ouverts. Depuis une IP source différente (quand
> la mienne est bloquée), ça fonctionne.
Je reprends en français ça sera plus simple :)
Tu n'as pas fail2ban, mais as-tu iptables ou nftables (ou autre chose) ?
Il
ur) fonctionne.
>> >
>> > Exemple cette nuit après un reboot du serveur la veille au soir :
>> > 01h43-02h13 (30 minutes)
>> > 02h26-03h26 (1 heure)
>> > 03h28-05h28 (2 heures)
>> > 05h55-? (pas encore débloqué)
>> >
>> > Probl
gt; Problèmes :
> - sur le template Debian 12 d'OVH pour les serveurs dédiés, il
n'y a
> pas d'outil de blocage pré-installé (pas de fail2ban par exemple)
> - je n'en ai pas ajouté depuis l'installation du serveur,
uniquement
> apache (ave
13 (30 minutes)
> > 02h26-03h26 (1 heure)
> > 03h28-05h28 (2 heures)
> > 05h55-? (pas encore débloqué)
> >
> > Problèmes :
> > - sur le template Debian 12 d'OVH pour les serveurs dédiés, il n'y a
> > pas d'outil de blocage pré-installé (pas de
an 12 d'OVH pour les serveurs dédiés, il n'y a
pas d'outil de blocage pré-installé (pas de fail2ban par exemple)
- je n'en ai pas ajouté depuis l'installation du serveur, uniquement
apache (avec mod_security), PHP et MariaDB
- depuis l'IP de chez moi, cette nuit, les se
'outil de blocage pré-installé (pas de fail2ban par exemple)
- je n'en ai pas ajouté depuis l'installation du serveur, uniquement apache
(avec mod_security), PHP et MariaDB
- depuis l'IP de chez moi, cette nuit, les seules requêtes générées étaient
celles de ma sonde Uptime Kuma, à
G2PC a écrit :
> Bonjour,
>
> Votre montée en version vers Bullseye et avec Fail2ban ce passe t'elle
> tranquillement ?
>
> De mon côté, j'observe que quelques règles ne fonctionnent plus, lié à
> la montée en version de Fail2ban.
>
> Avez vous eu ég
Bonjour,
Votre montée en version vers Bullseye et avec Fail2ban ce passe t'elle
tranquillement ?
De mon côté, j'observe que quelques règles ne fonctionnent plus, lié à
la montée en version de Fail2ban.
Avez vous eu également cette problématique de règles Fail2ban à mettre à
jour de votre côté ?
> > Un outil de bannissement « définitif » pour ceux qui insistent
> > lourdement « multiban » répétés, basé sur l’analyse des logs de
> > Fail2ban. Vous pouvez le trouver sur l’URL suivante :
> >
> https://www.cybernaute.ch/bannir-definitivement-ip-bannies-frequemment
-BEGIN PGP SIGNED MESSAGE-
Hash: SHA512
Pierre Malard a écrit :
> Bonjour,
Bonjour,
> Je ne sais pas si cela correspond à ce que vous cherchez mais ici
> pour les serveurs sensibles nous nous appuyons en complément de
> Fail2ban qui ne banni que les IP de façon t
Charles Plessy a écrit :
> Le Thu, Apr 30, 2020 at 12:01:36PM +0200, BERTRAND Joël a écrit :
>>
>> Parce que le type est borné, que ça fait des jours que ça dure et que
>> l'IP change régulièrement. Par ailleurs, fail2ban est fait pour cela et
>> j'ai
Le Thu, Apr 30, 2020 at 12:01:36PM +0200, BERTRAND Joël a écrit :
>
> Parce que le type est borné, que ça fait des jours que ça dure et que
> l'IP change régulièrement. Par ailleurs, fail2ban est fait pour cela et
> j'ai autre chose à faire que de surveiller /var/log
Bonjour,
Je ne sais pas si cela correspond à ce que vous cherchez mais ici pour
les serveurs sensibles nous nous appuyons en complément de Fail2ban qui
ne banni que les IP de façon temporaires 2 ajouts :
Un outil de bannissement « définitif » pour ceux qui insistent lourdement
« multiban
Nisar JAGABAR a écrit :
>
> Et pourquoi ne pas bannir manuellement cette IP ? fail2ban-client te
> permets de le faire, regarde la sortie de 'fail2ban-client --help' ou
> son man :
> bash# fail2ban-client set banip
>
> Pour le nom du JAIL, tu as une liste de ceu
Et pourquoi ne pas bannir manuellement cette IP ? fail2ban-client te
permets de le faire, regarde la sortie de 'fail2ban-client --help' ou
son man :
bash# fail2ban-client set banip
Pour le nom du JAIL, tu as une liste de ceux déjà configuré avec un
bash# fail2ban-client status
Lorsque j'interroge directement la regex, j'obtiens ceci :
Root rayleigh:[/etc/fail2ban/filter.d] > fail2ban-client get courier-tls
failregex
The following regular expression are defined:
`- [0]:
^.*ip=\[(?:(?:::f{4,6}:)?(?P(?:\d{1,3}\.){3}\d{1,3})|\[?(?P(?:[0-9a-fA-F]{1,
> Je n'en sais rien et c'est piégeux.
-> https://github.com/fail2ban/fail2ban/issues
NoSpam a écrit :
>
> Le 29/04/2020 à 11:39, BERTRAND Joël a écrit :
>> NoSpam a écrit :
>>> Le 29/04/2020 à 11:07, BERTRAND Joël a écrit :
>>>> NoSpam a écrit :
>>>>> Le 29/04/2020 à 10:09, BERTRAND Joël a écrit :
>>>>>> Bonj
G2PC a écrit :
>
>> J'ai naturellement modifié le fichier de configuration de fail2ban et
>> cette règle est chargée.
>
>
> Si ta règle match des résultats dans les logs, je suppose que la règle
> est correcte !
> Logique ?
Il me semble. Le doute q
Le 29/04/2020 à 11:39, BERTRAND Joël a écrit :
NoSpam a écrit :
Le 29/04/2020 à 11:07, BERTRAND Joël a écrit :
NoSpam a écrit :
Le 29/04/2020 à 10:09, BERTRAND Joël a écrit :
Bonjour à tous,
Bonjour
la version de fail2ban prend t'elle en charge ipv6 (version minimum
> J'ai naturellement modifié le fichier de configuration de fail2ban et
> cette règle est chargée.
Si ta règle match des résultats dans les logs, je suppose que la règle
est correcte !
Logique ?
Par contre, personnellement, je me trompe peut être, j'ai peu confiance
en la
NoSpam a écrit :
>
> Le 29/04/2020 à 11:07, BERTRAND Joël a écrit :
>> NoSpam a écrit :
>>> Le 29/04/2020 à 10:09, BERTRAND Joël a écrit :
>>>> Bonjour à tous,
>>> Bonjour
>>>
>>> la version de fail2ban prend t'elle en
Le 29/04/2020 à 11:07, BERTRAND Joël a écrit :
NoSpam a écrit :
Le 29/04/2020 à 10:09, BERTRAND Joël a écrit :
Bonjour à tous,
Bonjour
la version de fail2ban prend t'elle en charge ipv6 (version minimum 0.10) ?
Oui : 0.10.2-2.1.
Mais mon installation fai
NoSpam a écrit :
>
> Le 29/04/2020 à 10:09, BERTRAND Joël a écrit :
>> Bonjour à tous,
>
> Bonjour
>
> la version de fail2ban prend t'elle en charge ipv6 (version minimum 0.10) ?
Oui : 0.10.2-2.1.
Mais mon installation fail2ban traitait IPv6
Le 29/04/2020 à 10:09, BERTRAND Joël a écrit :
Bonjour à tous,
Bonjour
la version de fail2ban prend t'elle en charge ipv6 (version minimum 0.10) ?
Depuis plus de 48 heures, je subis une attaque sur l'un de mes serveurs
de mails en provenance de Russie. Les logs
10:06:33 rayleigh pop3d-ssl: Disconnected, ip=[:::213.217.0.213]
Et ça défile à une vitesse délirante. Je tente donc de rajouter une
règle fail2ban mais elle ne fait rien.
J'ai rajouté courier-tls.conf:
[INCLUDES]
before = common.conf
[Definition]
_daemon = (imapd-ssl
Ok, logique.
Regarde quand même le /var/log/syslog quand tu démarre Fail2Ban…
> Le 11 juil. 2019 à 19:11, Belaïd a écrit :
>
> Salut,
>
> Comme les serveurs sont identiques, pourquoi ne pas mettre la config des
> jails dans le même dossier ? À ta place Je ferai ça dan
Salut,
Comme les serveurs sont identiques, pourquoi ne pas mettre la config des
jails dans le même dossier ? À ta place Je ferai ça dans
/etc/fail2ban/jail.d/
Le jeu. 11 juil. 2019 17:06, fab a écrit :
> salut la liste,
>
> Soient 2 serveurs quasi-identiques sur stretch à jour.
Salut,
En supposant bien entendu que tu as installé le paquet Fail2Ban de Debian et
pas un source venant du site du développeur…
Ça n’a peut-être rien à voir mais « Fail2Ban » préfère maintenant la
déclaration des déclarations de taules (« jail ») dans un répertoire spécifique
(« /etc
salut la liste,
Soient 2 serveurs quasi-identiques sur stretch à jour. fail2ban
fonctionne correctement sur le serveur B mais pas sur le serveur A. Pour
l'instant je n'ai paramétré qu'une seule prison sshd.
serveur A:
# cat defaults-debian.conf
[sshd]
port =
enabled = tr
user=toto
J'ai enfin trouvé une correspondance dans mail.log :
Mar 5 21:10:18 serveur imapd-ssl: LOGIN FAILED, method=PLAIN,
ip=[:::109.105.195.250]
Par contre fail2ban ne voit rien car son filtre est le suivant :
failregex = ^%(__prefix_line)sLOGIN FAILED, user=.*, ip=\[\]$
J'
dans auth.log et ne contiennent pas d'IP. Fail2ban
est donc incapable de les détecter. Je ne vois rien dans mail.log,
mail.warn et mail.err.
Avez-vous une idée pour pouvoir bloquer ces requêtes ?
Par avance merci.
Silvère Maugain
vacances, avoir
> une vie, toussa...donc il peut être intéressant qu'une ou plusieurs
> personnes agissant en backup reçoivent aussi les notifications.
> Une des solutions possibles indépendamment des possibilités de
> fail2ban lui-même serait de mettre en place une liste de diffusion
une ou plusieurs
personnes agissant en backup reçoivent aussi les notifications.
Une des solutions possibles indépendamment des possibilités de
fail2ban lui-même serait de mettre en place une liste de diffusion et
d'en enregistrer l'adresse.
cordialement
Eric
paramètre destemail de fail2ban et comment le faire ?
1 _ d'une part je lis les liens que j'adresse, à défaut de tous les
suivre ...
2 _ d'autre part, la réponse est effectivement donnée _ OUI, AJOUTEZ UN
ESPACE ENTRE LES ADRESSSES.
3 _ en oûtre , évitez s.v.p. de parl
Le 14 mai 2016 à 21:25, Jean-Marc a écrit :
> Sat, 14 May 2016 15:14:13 +0200
> merkeda...@vmail.me écrivait :
>
>> *
>> il manque un tag rtfm sur la liste ; avant toute demande, il est quant
>> même souhaîtable de faire des reche
quot;t").
>
> En attente d'une suite favorable ?
C'est une plaisanterie ?
>
> **
>
> https://help.ubuntu.com/community/Fail2ban
>
> https://ubuntuforums.org/showthread.php?t=1698581
>
rable ?
**
https://help.ubuntu.com/community/Fail2ban
https://ubuntuforums.org/showthread.php?t=1698581
fail2ban doesn't send emails
https://www.maketecheasier.com/protect-ssh-server-with-fail2ban-ubuntu/
https://fedoraproject.org/wiki/Fail2ban_with_FirewallD
www.pontikis.net/blog/fail2b
salut la liste,
Je sèche un peu.
Quelqu'un sait si on peut spécifier plusieurs adresses mails derrière
le paramètre destemail de fail2ban et comment le faire ?
Merci.
Jean-Marc
pgp_3BinMPajV.pgp
Description: PGP signature
Le 1 déc. 2015 à 18:57, andre_deb...@numericable.fr a écrit :
>> et en modifiant ou en ajoutant un filtre fail2ban spécifique
>> (les tentatives d'authentification sont alors toutes loggées,
>> mais le format est différent de ce que fail2ban recherche :
>
>&
ging.conf :
Fait.
> et en modifiant ou en ajoutant un filtre fail2ban spécifique
> (les tentatives d'authentification sont alors toutes loggées,
> mais le format est différent de ce que fail2ban recherche :
> J'espère que je n'ai pas été trop confus dans mes explica
>>>> "authentication failure; logname= uid=0 euid=0 tty=dovecot
>>>> ruser=pascal.b@ rhost=212.83.40.56 : 66 Times"
>>>>
>>>> Une personne qui n'est pas le propriétaire du mail,
>>>> tente de se connecter 66 fois alors
e dans mon logwatch quotidien,
(tentatives de connexions sur des comptes mail) :
"authentication failure; logname= uid=0 euid=0 tty=dovecot
ruser=pascal.b@ rhost=212.83.40.56 : 66 Times"
Une personne qui n'est pas le propriétaire du mail,
tente de se connecter 66 fois alors que le "
rs ce type de message dans mon logwatch quotidien,
>> (tentatives de connexions sur des comptes mail) :
>>
>> "authentication failure; logname= uid=0 euid=0 tty=dovecot
>> ruser=pascal.b@ rhost=212.83.40.56 : 66 Times"
>>
>> Une personne qui n'est pas le prop
ailure; logname= uid=0 euid=0 tty=dovecot
ruser=pascal.b@ rhost=212.83.40.56 : 66 Times"
Une personne qui n'est pas le propriétaire du mail,
tente de se connecter 66 fois alors que le "maxretry=3"
Ici, fail2ban ne joue pas son rôle, il reste insensible à ses configs.
(je l'
gt;>> Une personne qui n'est pas le propriétaire du mail,
>>> tente de se connecter 66 fois alors que le "maxretry=3"
>>> Ici, fail2ban ne joue pas son rôle, il reste insensible à ses configs.
>>> (je l'avais bien relancé).
>
>> Cette a
h quotidien,
> > (tentatives de connexions sur des comptes mail) :
> > "authentication failure; logname= uid=0 euid=0 tty=dovecot
> > ruser=pascal.b@ rhost=212.83.40.56 : 66 Times"
> > Une personne qui n'est pas le propriétaire du mail,
> > tente de se connec
> > Une personne qui n'est pas le propriétaire du mail,
> > tente de se connecter 66 fois alors que le "maxretry=3"
> >
> > Ici, fail2ban ne joue pas son rôle, il reste insensible à ses
> > configs. (je l'avais bien relancé).
> >
> > Andr
connexions sur des comptes mail) :
>
> "authentication failure; logname= uid=0 euid=0 tty=dovecot
> ruser=pascal.b@ rhost=212.83.40.56 : 66 Times"
>
> Une personne qui n'est pas le propriétaire du mail,
> tente de se connecter 66 fois alors que le "maxretry=3"
))
Sinon, les requêtes peuvent avoir été envoyées en même temps, et en
masse, c'est une technique utilisée pour passer les filtres fail2ban.
>
> Une personne qui n'est pas le propriétaire du mail,
> tente de se connecter 66 fois alors que le "maxretry=3"
>
pascal.b@ rhost=212.83.40.56 : 66 Times"
Une personne qui n'est pas le propriétaire du mail,
tente de se connecter 66 fois alors que le "maxretry=3"
Ici, fail2ban ne joue pas son rôle, il reste insensible à ses configs.
(je l'avais bien relancé).
André
st=212.83.40.56 : 66 Times"
Une personne qui n'est pas le propriétaire du mail,
tente de se connecter 66 fois alors que le "maxretry=3"
Ici, fail2ban ne joue pas son rôle, il reste insensible à ses configs.
(je l'avais bien relancé).
André
Le 18 févr. 15 à 10:26, Jacques Lav!gnotte. a écrit :
Le 18/02/2015 00:11, Philippe Gras a écrit :
Bon, alors j'ai trouvé :
http://serverfault.com/questions/448779/have-fail2ban-send-
notification-to-banned-party
Et comme bien souvent le 'banned-party' n'accepte pas
Le 18/02/2015 00:11, Philippe Gras a écrit :
> Bon, alors j'ai trouvé :
> http://serverfault.com/questions/448779/have-fail2ban-send-notification-to-banned-party
Et comme bien souvent le 'banned-party' n'accepte pas les e-mails le MTA
de ta machine se retrouve pendant 5
:37, BERTRAND Joël a écrit :
J'ai vu aussi qu'il existait un système pour formuler une
réclamation au registrar :
https://github.com/sergejmueller/fail2ban/blob/master/action.d/
complain.conf
Le fichier existe aussi dans ma version de fail2ban. Si quelqu'un
connaît la procédur
Bonjour,
Le mardi 17 février 2015, Philippe Gras a écrit...
> >Donc si je comprends bien, au lieu de faire un DROP ou un REJECT
> >avec fail2ban, on pourrait appliquer un Tarpit?
> Oui, mais j'ai l'impression qu'il s'agit d'une instruction hétér
que ces adresses appartiennent
toutes à ce sous-réseau, et je bannis de manière permanente.
OK. Je faisais ça avant d'avoir installé fail2ban. Trop de
maintenance à mon goût :-)
Sinon, j'ai trouvé un truc marrant hier soir :
http://www.wikigento.com/securite/tarpit-iptables-les-armes-
f
, au lieu de faire un DROP ou un REJECT
> avec fail2ban, on pourrait appliquer un Tarpit?
À ce propos, avec Google, j'ai trouvé ça:
http://blog.nicolargo.com/2012/03/bannir-les-bannis-avec-fail2ban.html
"En bonus, nous allons également voir comment pourrir la bande
passante de la ma
d'elle, ce qui me
donne un sous-réseau, je m'aperçois que ces adresses appartiennent
toutes à ce sous-réseau, et je bannis de manière permanente.
> Sinon, j'ai trouvé un truc marrant hier soir :
> http://www.wikigento.com/securite/tarpit-iptables-les-armes-fatales-anti-ddos/
Le 17 févr. 15 à 12:59, Vincent Lefevre a écrit :
On 2015-02-16 16:04:23 +0100, Philippe Gras wrote:
Le 16 févr. 15 à 15:09, Vincent Lefevre a écrit :
En même temps, cela permet de repérer les adresses IP en question.
Ouais, mais qu'est-ce que tu veux prendre comme mesures avec des
IP sit
On 2015-02-16 16:04:23 +0100, Philippe Gras wrote:
> Le 16 févr. 15 à 15:09, Vincent Lefevre a écrit :
> >En même temps, cela permet de repérer les adresses IP en question.
>
> Ouais, mais qu'est-ce que tu veux prendre comme mesures avec des IP situées
> en Russie ou en Chine ? C'est comme si elle
Le 16 févr. 15 à 15:09, Vincent Lefevre a écrit :
On 2015-02-16 14:38:47 +0100, Philippe Gras wrote:
Le 16 févr. 15 à 14:18, Vincent Lefevre a écrit :
D'un autre côté, faire un DROP embête plus l'attaquant, qui va
perdre
son temps à faire des requêtes qui n'aboutiront pas. Mais...
Non, le
On 2015-02-16 14:38:47 +0100, Philippe Gras wrote:
> Le 16 févr. 15 à 14:18, Vincent Lefevre a écrit :
> >D'un autre côté, faire un DROP embête plus l'attaquant, qui va perdre
> >son temps à faire des requêtes qui n'aboutiront pas. Mais...
>
> Non, le DROP n'embête pas plus l'attaquant que ça. Tu
e évidemment.
Le plus galère dans la sécurité, ce n'est pas le plus dangereux. On a en
effet 2 types d'attaquants :
Les script kiddies, qui te bouffent un max de ressources, mais ne te
font
pas réellement de dégâts.
Les vrais pirates, qui savent infiltrer un serveur incognito.
Il
i une machine est un peu protégée,
> >>>>>ils
> >>>>>passent à une autre.
> >>>>
> >>>>Bon, j'ai pigé maintenant :-) Mais pour passer inaperçus, tu…
> >>>>repasseras
> >>>>;-)
> >>>
> >>
d sur cette
adresse IP n'est pas la solution. Rejeter le paquet signifie "j'ai
bien vu ta tentative et je t'emmerde".
Oui, tu as 1.000.000 fois raison ! Il y a un module pour envoyer des
réclamations abuse
dans fail2ban. J'aimerais bien l'activer aussi, ma
Philippe Gras a écrit :
Le 14 févr. 15 à 20:50, BERTRAND Joël a écrit :
Philippe Gras a écrit :
OKAAAYY !
Le 14 févr. 15 à 20:04, BERTRAND Joël a écrit :
Philippe Gras a écrit :
Apparemment, ça a l'air super efficace :-) Par contre je n'ai pas
très bien
compris la
Le 14 févr. 15 à 20:50, BERTRAND Joël a écrit :
Philippe Gras a écrit :
OKAAAYY !
Le 14 févr. 15 à 20:04, BERTRAND Joël a écrit :
Philippe Gras a écrit :
Apparemment, ça a l'air super efficace :-) Par contre je n'ai pas
très bien
compris la façon dont ça se passe et
Philippe Gras a écrit :
OKAAAYY !
Le 14 févr. 15 à 20:04, BERTRAND Joël a écrit :
Philippe Gras a écrit :
Apparemment, ça a l'air super efficace :-) Par contre je n'ai pas
très bien
compris la façon dont ça se passe et pourquoi ça décourage l'attaquant.
Parce que
OKAAAYY !
Le 14 févr. 15 à 20:04, BERTRAND Joël a écrit :
Philippe Gras a écrit :
Apparemment, ça a l'air super efficace :-) Par contre je n'ai pas
très bien
compris la façon dont ça se passe et pourquoi ça décourage
l'attaquant.
Parce que lorsque tu fais un DROP,
Philippe Gras a écrit :
Apparemment, ça a l'air super efficace :-) Par contre je n'ai pas très bien
compris la façon dont ça se passe et pourquoi ça décourage l'attaquant.
Parce que lorsque tu fais un DROP, l'attaquant ne sait pas si le port
est ouvert (et saturé) ou fermé, ou s'il y a même u
Le 2 févr. 15 à 15:48, BERTRAND Joël a écrit :
Philippe Gras a écrit :
Pardon de remonter ce sujet.
As-tu réussi à stopper ces attaques avec fail2ban, finalement ?
Oui, ça s'est calmé, mais il y a eu une quinzaine de jours assez
folkloriques.
Je rencontre un problème su
1 - 100 sur 203 matches
Mail list logo
