Philippe Gras a écrit :
Le 2 févr. 15 à 16:21, BERTRAND Joël a écrit :Philippe Gras a écrit :Je rencontre un problème sur les tentatives d'exploits (casser un mot de passe en testant des milliers de combinaisons possibles). Chez moi, fail2ban bannit bien les IP, mais l'attaque continue…Chez moi aussi, ça fait ça, mais comme les attaquants sont décorrélés, pas de problème. J'ai eu des queues de bannis de plus de 50 machines et la cible récidive fonctionne parfaitement. En revanche, je ferme autoritairement la connexion avec un ICMP bien senti, je n'attends pas que la connexion se ferme d'elle même en DROPant le paquet. Ça aide un peu...Ah, OK ! Peux-tu expliquer comment tu "fermes autoritairement la connexion avec un ICMP bien senti" ?Au lieu de garder la configuration par défaut (d'il y a très longtemps, je n'ai pas vérifié si cette configuration avait changé récemment) qui installe un DROP, mes règles installent un REJET avec --reject-with icmp-port-unreachableTu veux parler de la configuration de fail2ban, c'est ça ?
Oui.
Si je comprends bien, tu aurais le même problème que moi si tu attendais que la connexion se fermâtOui j'ai eu ce genre de problème par le passé. En plus, lorsqu'on parle au zombie, il passe à autre chose plus vite, c'est tout bénef :-PQue veux-tu dire par-là ? Casser la connexion avec un DROP ou un REJECT, ce n'est pas la même chose finalement ?
Non, ce n'est pas la même chose. DROP, le paquet de l'émetteur tombe dans un trou noir et la connexion tombe par un timeout côté émetteur. Avec un REJECT, j'informe explicitement l'émetteur que le port est fermé en coupant la communication de mon côté. Si l'émetteur n'est pas trop idiot, il passe à autre chose.
JKB