Philippe Gras a écrit :
Le 2 févr. 15 à 16:47, BERTRAND Joël a écrit :Philippe Gras a écrit :Le 2 févr. 15 à 16:21, BERTRAND Joël a écrit :Philippe Gras a écrit :Je rencontre un problème sur les tentatives d'exploits (casser un mot de passe en testant des milliers de combinaisons possibles). Chez moi, fail2ban bannit bien les IP, mais l'attaque continue…Chez moi aussi, ça fait ça, mais comme les attaquants sont décorrélés, pas de problème. J'ai eu des queues de bannis de plus de 50 machines et la cible récidive fonctionne parfaitement. En revanche, je ferme autoritairement la connexion avec un ICMP bien senti, je n'attends pas que la connexion se ferme d'elle même en DROPant le paquet. Ça aide un peu...Ah, OK ! Peux-tu expliquer comment tu "fermes autoritairement la connexion avec un ICMP bien senti" ?Au lieu de garder la configuration par défaut (d'il y a très longtemps, je n'ai pas vérifié si cette configuration avait changé récemment) qui installe un DROP, mes règles installent un REJET avec --reject-with icmp-port-unreachableTu veux parler de la configuration de fail2ban, c'est ça ?Oui.Ça t'ennuierait de communiquer ta conf. perso, que je la recopie chez moi ? (… et d'autres sur la liste éventuellement aussi, parce que ça a l'air trop cool)
Si tu le dis... Elle n'a rien d'extraordinaire. Dans jail.conf, j'ai un : banaction = iptables46-multiport <- ipv4 _et_ ipv6 et dans action.d/iptables-common.conf un : blocktype = REJECT --reject-with icmp-port-unreachableLe reste ressemble assez à une configuration par défaut. Encore une fois, je n'ai pas suivi les évolutions de la configuration par défaut et je ne sais pas comment est configuré un fail2ban récent out of the box.
JKB