Bonsoir,
J'ai deux questions à propos de fail2ban qui tourne
actuellement sur ma machine.
1°/ J'ai configuré fail2ban pour qu'il m'envoie un mail pour
chaque adresse bannie.
Je reçois entre 5 et 10 mails par jour que je classe dans un
répertoire de ma boîte mail.
Comme ça fait plusieurs mois que ça dure, j'ai plusieurs centaines
d'@ IP bannies.
Y a t-il une possibilité de visualiser automatiquement la liste
des @IP bannies ? (sur une page web par exemple, ou sous un autre
format).
Pas de frontal à ma connaissance, mais coder une page web à partir
de la commande que vous indiquez ci-après n'est pas très difficile
(si c'est vraiment ce que vous souhaitez avoir...). Il doit surement
y avoir différentes petites astuces sur le net.
Par contre, fail2ban banni effectivement des IP, mais pour une durée
définie dans la conf (10min par défaut si je me souviens bien, 1h,
1j, ... cf "bantime"), parceque sinon... le parcours des tables pour
chaque paquet IP provoquerait une baisse de performance de votre
réseaux au fur et a mesure que le temps passe (sans compter les
risques de DoS, la réduction de la ram disponible, ...).
2°/ Voici ce que me renvoie la commande:
# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
fail2ban-ssh tcp -- anywhere anywhere
multiport dports ssh
fail2ban-postfix tcp -- anywhere
anywhere multiport dports smtp,ssmtp
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
Chain fail2ban-postfix (1 references)
target prot opt source destination
RETURN all -- anywhere anywhere
Chain fail2ban-ssh (1 references)
target prot opt source destination
DROP all -- 99.198.122.105 anywhere
DROP all -- 204.110.14.17 anywhere
DROP all -- 247.112.140.187.ds.sparkstation.net
anywhere
DROP all -- 58-242-115-208.static.reverse.lstn.net
anywhere
DROP all -- ip-72-167-47-28.ip.secureserver.net
anywhere
DROP all -- essen242.server4you.de
anywhere
DROP all -- 66.11.123.195 anywhere
DROP all -- truster-0.webhosting4.net
anywhere
RETURN all -- anywhere anywhere
J'avoue ne pas savoir quoi penser dernières lignes DROP ?
D'après les infos que j'ai trouvées sur le NET cela ne semble pas
très normal.
La chaine fail2ban-ssh contient les IP bannies par fail2ban pour le
service ssh (par analyse des log). Les autres chaines commencant par
"fail2ban-" aussi, pour d'autres service, dans votre cas, votre
serveur mail Postfix. Les entrées que vous voyez, sont celles qui on
été bannies suite à des tentatives d'accès infructueuses à ssh, et
seront supprimées une fois la durée du bannissement de chacune
d'entre elles atteinte ou un redémarrage de fail2ban. D'ailleurs,
cette liste à surement changée depuis le temps... Mais tout est
parfaitement normal, vous n'êtes pas très sollicité...
Pour en apprendre plus, aller lire la documentation est la meilleure
solution :
http://doc.ubuntu-fr.org/fail2ban
et
http://www.fail2ban.org/wiki/index.php/FAQ_french
pour des documentation en français, et surtout l'originale dans la
langue de Shakespeare :
http://www.fail2ban.org/wiki/index.php/Main_Page
Un dernier point, si les mails vous sont inutiles, ou peu utiles,
vous devriez envisagez de les désactiver, vous économiseriez ainsi
des ressources sur les différentes machines qui manipules vos mails,
de l'espace disque, de l'énergie, et surement d'autres choses
encore...
Thibaut