Re: iptables patch auto-drop

トップ ページ

このメッセージに返信
著者: Olivier Allard-Jacquin
日付:  
To: GUILDE
題目: Re: iptables patch auto-drop
    Bonsoir Hervé,

hervé de Dianous a écrit :
> Bonjour à tous !
> Sur ma chtite passerelle(*), pour droper les IP qui cherchent à se
> connecter à un port en tachant de s'identifier "à la brute-force" il y a
> plusieurs solutions.
>
> 1- à l'ancienne, à la main, avec ipchains et ipdrop (dynfw) :
> http://freshmeat.net/projects/dynfwforipchains/
>
> 2- avec un script Python et ipables :
> http://fail2ban.sourceforge.net/wiki/index.php/Main_Page
> Celui là a l'avantage d'automatiquement maintenir une liste des IP à
> bloquer après n tentatives de login sur un service en m secondes et de
> la libérer après m secondes. (la liste ne s'étend pas indéfiniment)
>
> 3- directement avec des règles d'un patch iptables :
> http://www.netfilter.org/documentation/HOWTO/netfilter-extensions-HOWTO-3.html#ss3.16
>
> http://www.debian-administration.org/articles/187
>
> Mais là, aucune précision sur la manière de libérer l'ip dropée au bout
> de m secondes/minutes. les règles drop pourraient s'étendre indéfiniment.
>
> Si vous avez des précisions ???


    Je serais tenté de dire "Look the sources Luke" (*) :)


(*): Voix hachée de Dark Vador

- http://snowman.net/projects/ipt_recent/
- Télécharger les dernières sources :
http://snowman.net/projects/ipt_recent/ipt_recent-0.3.1.tar.gz
- Fichier recent.patch.help

<extrait>
Each file in /proc/net/ipt_recent/ can be read from to see the current list
or written two using the following commands to modify the list:
'echo xx.xx.xx.xx > /proc/net/ipt_recent/DEFAULT' to Add to the DEFAULT list
'echo -xx.xx.xx.xx > /proc/net/ipt_recent/DEFAULT' to Remove from the
DEFAULT list
'echo clear > /proc/net/ipt_recent/DEFAULT' to empty the DEFAULT list.

The module itself accepts parameters, defaults shown:
ip_list_tot=100 ; Number of addresses remembered per table
</extrait>

    Comme évoque mercredi soir, si tu charges le module "ip_list_tot", avec
le paramètre "ip_list_tot=100", les listes d'adresses IP ne stockerons
que 100 adresses. Après, je pense que ce doit être la technique du FIFO
: La 1ère adresse IP banni devra attendre que 100 nouvelles adresses
soient bannies, afin de sortir de la liste.


[root@phoenix ~]# modprobe ipt_recent ip_list_tot=100

    Sinon, tu peux effacer la liste "à la main", en utilisant :


echo clear > /proc/net/ipt_recent/DEFAULT

ou "DEFAULT" est le nom de la liste de bannisement définit par ".... -m
recent --name DEFAULT ..."

    Tu peux par exemple mettre cette commande dans un crontab, afin de
purger la liste tout les jours...


<mode=troll>

    Décidément messieurs les Debianistes (*), les "apt-machinchose" vous
ramollissent les neurones. Debian serait'il tellement simple, que vous
en oubliez les bases du bon vieux .tar.gz ? ;)


(*) Frédéric et Hervé

    Un petit tour sur Slackware vous redonnera les bons réflexes !!!


    Remarquez qu'avec MDV, et sa soit-disant "instabilité", on garde le
contact avec bonne vielles solutions de base, afin de corriger les
(éventuels) problèmes qui surviennent (rarement)... ;)


</mode>

    A plus,
                            Olivier


PS: Désolé pour l'humour, un problème de disque dur sur une Ubuntu me
donne l'humour taquin ce soir... ;)
-- 
~~~~~~~  _____/\_____  ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Phoenix /   _ \/ _   \    Olivier Allard-Jacquin
       /   / \  / \   \   Web:  http://olivieraj.free.fr/
      /___/  /  \  \___\  Mail: olivieraj@???
~~~~ /////  ///\\\  \\\\\ ~~~~~~~~~~~~~~~~~~~~~~~ Linux Powered !!