[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: [HS] Syn flood, comment s'en débarrasser ?

Possibilité d'avoir la sortie de la commande iptables -S ?
J'ai du mal à lire avec -L ..

Pourquoi serait-il étonnant que les paquets SYN passent puisque la
première règle à apparaître stipule qu'elle "ACCEPT" toutes les
connexions sur le port 3306 ?

Pourquoi y a t-il une limite de paquets sur ce même port quelques lignes
en dessous ( qui ne sera donc jamais atteinte puisque tout les paquets
ont déjà été accepté comme l'a fait remarquer Guillaume pour celle des
"LOG" ) ?

Une config normal de netfilter =>

1-On drop les badboys
2-On LOG éventuellement les cas particuliers que l'on souhaite surveiller.

3-On fait notre filtrage sur ce que l'on "ACCEPT" ( et il faut bien
comprendre que l'ordre des règles est important => si on ACCEPT tout en
premier lieu, les règles suivante ne seront jamais traversées / appliquées )

4-On LOG éventuellement le reste
5-On revient au DROP par défaut pour tout les autres paquets.


Pour le pid, je ne suis pas sur ... mais étant donné que SYN/TCP ==
kernel ... je suppose que MySQL n'a encore rien reçu à cet instant
précis: donc pas de pid.

Pour le port 80 ... je n'ai pas compris ton interrogation.

Je pense que tu es bon pour un voyage sur les HOW-TO de netfilter, je
vois des choses très étrange.

http://www.netfilter.org/documentation/HOWTO/fr/

-- 
Josh


On 20/06/2015 00:58, Philippe Gras wrote:
> 
> Le 20 juin 2015 à 00:32, Guillaume <list-debian@gwilhom.fr> a écrit :
> 
>> Si j'ai bien lu tu laisses passer le trafic MySQL pour tout le monde avant de logger.
> 
> Oui, en effet. Ce n’est  peut être pas une bonne chose, mais est-ce qu’on n’est pas
> obligé de faire comme ça de toute façon pour accéder aux données des sites sur le
> port 80 ? Je n’en sais fichtre rien !
>>
>> Vous pouvez ajouter l'option '-v' à iptables pour voir les compteurs
>>
>> iptables -nvL
> 
> Oui, et bizarrement et contrairement à ce que paraît indiquer netstat, aucun paquet
> n’est filtré sur le port 3306. Ce qui me ramène d’ailleurs au problème précédent.
> 
> Par contre chaque matin, j’ai des trucs bizarres dans Logwatch, avec des quantités
> phénoménales de requêtes :
> --------------------- iptables firewall Begin ------------------------ 
> 
> 
> Listed by source hosts:
> Logged 10992 packets on interface eth0
>   From 61.160.224.128 - 1 packet to tcp(21) 
>   From 69.90.188.220 - 1 packet to tcp(80) 
>   From 78.113.230.91 - 1 packet to tcp(80) 
>   From 82.124.236.16 - 99 packets to tcp(21) 
>   From 85.159.232.115 - 1 packet to tcp(21) 
>   From 95.213.131.236 - 114 packets to tcp(80) 
>   From 103.16.26.71 - 2 packets to tcp(21) 
>   From 104.27.191.40 - 5359 packets to tcp(80) 
>   From 141.101.75.41 - 1 packet to tcp(80) 
>   From 141.101.104.61 - 707 packets to tcp(80) 
>   From 173.245.50.94 - 3 packets to tcp(80) 
>   From 178.19.104.138 - 1 packet to tcp(21) 
>   From 188.114.110.64 - 16 packets to tcp(80) 
>   From 195.154.209.237 - 1 packet to tcp(80) 
>   From 198.41.128.61 - 59 packets to tcp(80) 
>   From 198.41.140.60 - 3069 packets to tcp(80) 
>   From 198.41.141.60 - 1556 packets to tcp(80) 
>   From 218.77.79.43 - 1 packet to tcp(21) 
> 
> ---------------------- iptables firewall End ------------------------- 
> 
> Ce qui pourrait se traduire par cela :
> 
> --------------------- Kernel Begin ------------------------ 
> 
> 
> WARNING:  Segmentation Faults in these executables
>    php5-fpm :  2 Time(s)
> 
> ---------------------- Kernel End ------------------------- 
> 
>>
>> Le 20/06/2015 00:10, Philippe Gras a écrit :
>>>
>>> Le 19 juin 2015 à 17:29, Samuel <debian-user-french-2010@ingescom.com> a écrit :
>>>
>>>> Bonjour,
>>>>
>>>> Le 19/06/2015 16:31, Philippe Gras a écrit :
>>>>
>>>> [...]
>>>>
>>>>> Comment puis-je vérifier la configuration d’iptables ?
>>>>
>>>> iptables -L -n
>>>
>>> http://enpret.com/iptables-n-l.txt
>>>
>>> Je mets ça en lien parce qu’elle est vachement longue…
>>>
>>> Il y a bien écrit "Chain
>>>           INPUT (policy DROP)"
>>>
>>> Mais est-ce avec garantie du gouvernement ou c’est moi
>>> qui interprète mal ?
>>>
>>> Merci à tous pour toute ces ressources et je suis en train
>>> de les consulter une à une…
>>>
>>>>
>>>> Samuel.
>>>>
>>>> -- 
>>>> Lisez la FAQ de la liste avant de poser une question :
>>>> http://wiki.debian.org/fr/FrenchLists
>>>>
>>>> Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
>>>> vers debian-user-french-REQUEST@lists.debian.org
>>>> En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
>>>> Archive: [🔎] 5584356F.90808@ingescom.com">https://lists.debian.org/[🔎] 5584356F.90808@ingescom.com
>>>>
>>>
>>
>>
>> -- 
>> Guillaume
> 
>
Reply to: