Re: Debian 12 - Blocage IPv4 sans fail2ban & co

Ça s'est reproduit cette nuit, mais je n'ai pas pu investiguer avant mon réveil, et pour l'instant ça ne bloque plus.

Par curiosité je fais un MTR régulier, et j'ai eu un truc étrange.

Un normal (rpi4 à la maison vers OVH) :

└─# mtr -r 54.38.38.159 -4
Start: 2023-09-07T07:14:15+0000
HOST: rpi4 Loss% Snt Last Avg Best Wrst StDev
1.|-- livebox.home 0.0% 10 1.0 0.9 0.7 1.1 0.1
2.|-- 80.10.239.9 0.0% 10 3.0 2.9 2.7 3.5 0.3
3.|-- ae102-0.ncidf103.rbci.ora 0.0% 10 3.3 3.4 2.2 6.3 1.1
4.|-- ae51-0.nridf101.rbci.oran 0.0% 10 3.2 3.4 3.1 3.6 0.2
5.|-- ae41-0.noidf001.rbci.oran 0.0% 10 3.5 3.7 3.2 5.4 0.6
6.|-- be102.par-th2-pb1-nc5.fr. 0.0% 10 25.9 9.6 3.7 31.7 10.5
7.|-- ??? 100.0 10 0.0 0.0 0.0 0.0 0.0
8.|-- ??? 100.0 10 0.0 0.0 0.0 0.0 0.0
9.|-- ??? 100.0 10 0.0 0.0 0.0 0.0 0.0
10.|-- be103.rbx-g4-nc5.fr.eu 0.0% 10 8.1 9.0 7.2 20.9 4.2
11.|-- ??? 100.0 10 0.0 0.0 0.0 0.0 0.0
12.|-- ??? 100.0 10 0.0 0.0 0.0 0.0 0.0
13.|-- ??? 100.0 10 0.0 0.0 0.0 0.0 0.0
14.|-- ??? 100.0 10 0.0 0.0 0.0 0.0 0.0
15.|-- mail.borezo.info 0.0% 10 6.9 7.2 6.7 7.9 0.4

Le même quelques minutes après (pas normal) :

└─# mtr -r 54.38.38.159 -4
Start: 2023-09-07T07:24:27+0000
HOST: rpi4 Loss% Snt Last Avg Best Wrst StDev
1.|-- livebox.home 0.0% 10 0.9 1.1 0.7 2.8 0.6
2.|-- 80.10.239.9 0.0% 10 2.8 3.0 2.7 4.4 0.5
3.|-- ae102-0.ncidf103.rbci.ora 0.0% 10 37.3 6.8 2.7 37.3 10.7
4.|-- ae51-0.nridf101.rbci.oran 0.0% 10 3.5 3.5 3.1 4.6 0.4
5.|-- ae41-0.noidf001.rbci.oran 0.0% 10 3.3 3.9 3.2 8.4 1.6
6.|-- be102.par-th2-pb1-nc5.fr. 0.0% 10 3.7 14.0 3.7 44.1 15.0
7.|-- ??? 100.0 10 0.0 0.0 0.0 0.0 0.0
8.|-- ??? 100.0 10 0.0 0.0 0.0 0.0 0.0
9.|-- ??? 100.0 10 0.0 0.0 0.0 0.0 0.0
10.|-- be103.rbx-g4-nc5.fr.eu 0.0% 10 7.5 8.4 7.1 12.1 1.7
11.|-- ??? 100.0 10 0.0 0.0 0.0 0.0 0.0
12.|-- rpi4.home 90.0% 10 7955. 7955. 7955. 7955. 0.0

Le mer. 6 sept. 2023 à 08:39, Romain <romain@borezo.info> a écrit :

Bonjour la liste,

J'ai récemment réinstallé un serveur dédié (chez OVH au cas où ça puisse aider dans le diagnostic), passant de Debian 11 à Debian 12.

Depuis, j'ai un blocage régulier et progressif de l'IPv4 de chez moi. L'accès en IPv6 ou depuis une autre IPv4 (y compris chez le même opérateur) fonctionne.

Exemple cette nuit après un reboot du serveur la veille au soir :
01h43-02h13 (30 minutes)
02h26-03h26 (1 heure)
03h28-05h28 (2 heures)
05h55-? (pas encore débloqué)

Problèmes :
- sur le template Debian 12 d'OVH pour les serveurs dédiés, il n'y a pas d'outil de blocage pré-installé (pas de fail2ban par exemple)
- je n'en ai pas ajouté depuis l'installation du serveur, uniquement apache (avec mod_security), PHP et MariaDB
- depuis l'IP de chez moi, cette nuit, les seules requêtes générées étaient celles de ma sonde Uptime Kuma, à savoir un ping toutes les minutes, et une requête curl toutes les minutes vers une URL qui n'a jamais retourné autre chose qu'un HTTP 200 (sauf quand l'IP est bloquée, bien entendu)

Lorsque mon IP est bloquée, curl retourne un "Connection refused". Ping retourne un "Destination Port Unreachable".

Dans les logs du serveur, je ne trouve aucune mention de mon IPv4. MTR (-4) ne signale aucun problème pour joindre le serveur. J'ai fait vérifier par OVH et ce n'est pas un de leur équipement réseau, et un redémarrage en rescue permet de récupérer le ping.

Avez-vous une idée de ce qui pourrait déclencher cela sur un Debian 12 quasiment vierge ? Je me tire les cheveux depuis quelques jours...

Merci !

Romain