Bonsoir Hervé,
hervé de Dianous a écrit :
> Bonjour à tous !
> Sur ma chtite passerelle(*), pour droper les IP qui cherchent à se
> connecter à un port en tachant de s'identifier "à la brute-force" il y a
> plusieurs solutions.
>
> 1- à l'ancienne, à la main, avec ipchains et ipdrop (dynfw) :
> http://freshmeat.net/projects/dynfwforipchains/
>
> 2- avec un script Python et ipables :
> http://fail2ban.sourceforge.net/wiki/index.php/Main_Page
> Celui là a l'avantage d'automatiquement maintenir une liste des IP à
> bloquer après n tentatives de login sur un service en m secondes et de
> la libérer après m secondes. (la liste ne s'étend pas indéfiniment)
>
> 3- directement avec des règles d'un patch iptables :
> http://www.netfilter.org/documentation/HOWTO/netfilter-extensions-HOWTO-3.html#ss3.16
>
> http://www.debian-administration.org/articles/187
>
> Mais là, aucune précision sur la manière de libérer l'ip dropée au bout
> de m secondes/minutes. les règles drop pourraient s'étendre indéfiniment.
>
> Si vous avez des précisions ???
Je serais tenté de dire "Look the sources Luke" (*) :)
(*): Voix hachée de Dark Vador
-
http://snowman.net/projects/ipt_recent/
- Télécharger les dernières sources :
http://snowman.net/projects/ipt_recent/ipt_recent-0.3.1.tar.gz
- Fichier recent.patch.help
<extrait>
Each file in /proc/net/ipt_recent/ can be read from to see the current list
or written two using the following commands to modify the list:
'echo xx.xx.xx.xx > /proc/net/ipt_recent/DEFAULT' to Add to the DEFAULT list
'echo -xx.xx.xx.xx > /proc/net/ipt_recent/DEFAULT' to Remove from the
DEFAULT list
'echo clear > /proc/net/ipt_recent/DEFAULT' to empty the DEFAULT list.
The module itself accepts parameters, defaults shown:
ip_list_tot=100 ; Number of addresses remembered per table
</extrait>
Comme évoque mercredi soir, si tu charges le module "ip_list_tot", avec
le paramètre "ip_list_tot=100", les listes d'adresses IP ne stockerons
que 100 adresses. Après, je pense que ce doit être la technique du FIFO
: La 1ère adresse IP banni devra attendre que 100 nouvelles adresses
soient bannies, afin de sortir de la liste.
[root@phoenix ~]# modprobe ipt_recent ip_list_tot=100
Sinon, tu peux effacer la liste "à la main", en utilisant :
echo clear > /proc/net/ipt_recent/DEFAULT
ou "DEFAULT" est le nom de la liste de bannisement définit par ".... -m
recent --name DEFAULT ..."
Tu peux par exemple mettre cette commande dans un crontab, afin de
purger la liste tout les jours...
<mode=troll>
Décidément messieurs les Debianistes (*), les "apt-machinchose" vous
ramollissent les neurones. Debian serait'il tellement simple, que vous
en oubliez les bases du bon vieux .tar.gz ? ;)
(*) Frédéric et Hervé
Un petit tour sur Slackware vous redonnera les bons réflexes !!!
Remarquez qu'avec MDV, et sa soit-disant "instabilité", on garde le
contact avec bonne vielles solutions de base, afin de corriger les
(éventuels) problèmes qui surviennent (rarement)... ;)
</mode>
A plus,
Olivier
PS: Désolé pour l'humour, un problème de disque dur sur une Ubuntu me
donne l'humour taquin ce soir... ;)
--
~~~~~~~ _____/\_____ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Phoenix / _ \/ _ \ Olivier Allard-Jacquin
/ / \ / \ \ Web: http://olivieraj.free.fr/
/___/ / \ \___\ Mail: olivieraj@???
~~~~ ///// ///\\\ \\\\\ ~~~~~~~~~~~~~~~~~~~~~~~ Linux Powered !!
