Philippe Gras a écrit :
Je rencontre un problème sur les tentatives d'exploits (casser un mot de passe en testant des milliers de combinaisons possibles). Chez moi, fail2ban bannit bien les IP, mais l'attaque continue…Chez moi aussi, ça fait ça, mais comme les attaquants sont décorrélés, pas de problème. J'ai eu des queues de bannis de plus de 50 machines et la cible récidive fonctionne parfaitement. En revanche, je ferme autoritairement la connexion avec un ICMP bien senti, je n'attends pas que la connexion se ferme d'elle même en DROPant le paquet. Ça aide un peu...Ah, OK ! Peux-tu expliquer comment tu "fermes autoritairement la connexion avec un ICMP bien senti" ?
Au lieu de garder la configuration par défaut (d'il y a très longtemps, je n'ai pas vérifié si cette configuration avait changé récemment) qui installe un DROP, mes règles installent un REJET avec --reject-with icmp-port-unreachable
Si je comprends bien, tu aurais le même problème que moi si tu attendais que la connexion se fermât
Oui j'ai eu ce genre de problème par le passé. En plus, lorsqu'on parle au zombie, il passe à autre chose plus vite, c'est tout bénef :-P
JKB