Bonjour, François Boisson a écrit :
Est-ce que un --limit 1/minute ne suffirait pas ? Cela laisserait le soin à ssh de compter les "failure", je ne pense pas que ssh ré-ouvre une connexion à chaque entrée de mot de passe (non vérifié).Le Thu, 29 Dec 2005 01:13:01 +0100 Armando_hardz <armando@hardz.net> a écrit:iptables -I INPUT -p tcp --dport 22 -m state --state NEW -m recent --set iptables -I INPUT -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 90 --hitcount 3 -j DROPImpeccable ton truc, j'ai patché mon noyau et compilé le module ipt_recent, ça marche au poil et c'est très simple.
Sinon le --set défini un compteur, non ?François, pour le patch je suppose que tu es en kernel 2.4 ? Dans un 2.6.14 c'est intégré ?
Reste que la méthode est élégante.
François Boisson
-- David Dumortier