[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: fail2ban regex

NoSpam a écrit :
> 
> Le 29/04/2020 à 11:39, BERTRAND Joël a écrit :
>> NoSpam a écrit :
>>> Le 29/04/2020 à 11:07, BERTRAND Joël a écrit :
>>>> NoSpam a écrit :
>>>>> Le 29/04/2020 à 10:09, BERTRAND Joël a écrit :
>>>>>>      Bonjour à tous,
>>>>> Bonjour
>>>>>
>>>>> la version de fail2ban prend t'elle en charge ipv6 (version minimum
>>>>> 0.10) ?
>>>>     Oui : 0.10.2-2.1.
>>>>
>>>>     Mais mon installation fail2ban traitait IPv6 depuis très longtemps
>>>> grâce à un petit patch bien senti ;-)
>>>>
>>>>     Par ailleurs, l'adresse IP en question est une IPv4.
>>> Non, c'est une IPv6 (ipv4-mapped ipv6)
>> 	Ben non. courier indique les adresses IPv4 comme ça. De toute façon, je
>> ne retrouve pas l'IP dans la chaîne correspondante de ip6tables.
> 
> Si si j'insiste ;)
> 
> https://en.wikipedia.org/wiki/IPv6
> 
> Hybrid dual-stack IPv6/IPv4 implementations recognize a special class of
> addresses, the IPv4-mapped IPv6 addresses. These addresses are typically
> written with a 96-bit prefix in the standard IPv6 format, and the
> remaining 32 bits written in the customary dot-decimal notation
> <https://en.wikipedia.org/wiki/Dot-decimal_notation> of IPv4.
> 
> Addresses in this group consist of an 80-bit prefix of zeros, the next
> 16 bits are ones, and the remaining, least-significant 32 bits contain
> the IPv4 address. For example, ::ffff:192.0.2.128 represents the IPv4
> address 192.0.2.128
> 
> J'utilise cette numérotation pour les règles firewall afin de pouvoir
> récupérer une connexion ipv6 si l'adresse global venait à défaillir.

	Sauf que non. C'est juste un affichage par courier. La connexion est
une connexion réelle IPv4 et pas IPv4 mappée en IPv6.

	Preuve :Apr 29 12:13:46 rayleigh pop3d-ssl: ip=[::ffff:213.217.0.213],
An unexpected TLS packet was received.
Apr 29 12:13:46 rayleigh pop3d-ssl: Disconnected, ip=[::ffff:213.217.0.213]
Apr 29 12:13:48 rayleigh pop3d-ssl: Connection, ip=[::ffff:213.217.0.213]
Apr 29 12:13:48 rayleigh pop3d-ssl: ip=[::ffff:213.217.0.213], An
unexpected TLS packet was received.
Apr 29 12:13:48 rayleigh pop3d-ssl: Disconnected, ip=[::ffff:213.217.0.213]
Apr 29 12:13:49 rayleigh pop3d-ssl: Connection, ip=[::ffff:213.217.0.213]
Apr 29 12:13:49 rayleigh pop3d-ssl: ip=[::ffff:213.217.0.213], An
unexpected TLS packet was received.
Apr 29 12:13:49 rayleigh pop3d-ssl: Disconnected, ip=[::ffff:213.217.0.213]
Apr 29 12:13:51 rayleigh pop3d-ssl: Connection, ip=[::ffff:213.217.0.213]
Apr 29 12:13:51 rayleigh pop3d-ssl: ip=[::ffff:213.217.0.213], An
unexpected TLS packet was received.
Apr 29 12:13:51 rayleigh pop3d-ssl: Disconnected, ip=[::ffff:213.217.0.213]

	Et un coup de tcpdump :
12:13:41.213604 IP 213.217.0.213.47835 > rayleigh.systella.fr.pop3s:
Flags [.], ack 2478110317, win 258, length 0
12:13:41.214758 IP 213.217.0.213.47835 > rayleigh.systella.fr.pop3s:
Flags [P.], seq 0:43, ack 1, win 258, length 43
12:13:41.214812 IP rayleigh.systella.fr.pop3s > 213.217.0.213.47835:
Flags [.], ack 43, win 256, length 0
12:13:41.246767 IP rayleigh.systella.fr.pop3s > 213.217.0.213.47835:
Flags [P.], seq 1:8, ack 43, win 256, length 7
12:13:41.247583 IP rayleigh.systella.fr.pop3s > 213.217.0.213.47835:
Flags [R.], seq 8, ack 43, win 256, length 0

	Maintenant, ne me demande pas pourquoi courier utilise cette notation,
je n'en sais rien et c'est piégeux.

	JKB
Reply to: