Différences

Ci-dessous, les différences entre deux révisions de la page.

--- netadmin:fail2ban [2022/10/22 15:48] – yoann
+++ netadmin:fail2ban [2023/04/27 13:28] (Version actuelle) – [Références] yoann
@@ Ligne 68: / Ligne 68: @@
 ===== Test =====
-Pour afficher l'état de l'ensemble des cellules:
+Pour afficher l'état de l'ensemble des cellules (prisons ou jails):
 <code bash>
@@ Ligne 74: / Ligne 74: @@
 </code>
-Pour le détail de la cellule ssh:
+Pour le détail de la cellule sshd:
 <code bash>
 $ sudo fail2ban-client status sshd
 </code>
+Si des hôtes sont bannis, on peut vérifier les règles créées par fail2ban:
+<code bash>
+iptables -L -n
+</code>
+<file>
+Chain INPUT (policy DROP)
+target     prot opt source               destination
+f2b-sshd   tcp  --  0.0.0.0/0            0.0.0.0/0            multiport dports 22
+. . .
+Chain f2b-sshd (1 references)
+target     prot opt source               destination
+REJECT     all  --  79.137.37.26         0.0.0.0/0            reject-with icmp-port-unreachable
+REJECT     all  --  103.150.125.189      0.0.0.0/0            reject-with icmp-port-unreachable
+REJECT     all  --  120.88.46.226        0.0.0.0/0            reject-with icmp-port-unreachable
+REJECT     all  --  14.49.204.81         0.0.0.0/0            reject-with icmp-port-unreachable
+REJECT     all  --  24.2.154.81          0.0.0.0/0            reject-with icmp-port-unreachable
+REJECT     all  --  193.106.191.50       0.0.0.0/0            reject-with icmp-port-unreachable
+REJECT     all  --  179.60.147.99        0.0.0.0/0            reject-with icmp-port-unreachable
+REJECT     all  --  165.22.216.121       0.0.0.0/0            reject-with icmp-port-unreachable
+REJECT     all  --  152.89.196.123       0.0.0.0/0            reject-with icmp-port-unreachable
+RETURN     all  --  0.0.0.0/0            0.0.0.0/0
+</file>
+On peut être surpris de constater que les règles générées par fail2ban utilisent la cible REJECT plutôt que DROP. Ce choix a été justifié par les développeurs dans la conversation https://github.com/fail2ban/fail2ban/issues/507 essentiellement parce que l'usage de DROP peut impacter fortement la réactivité des applications exécutées par les utilisateurs légitimes. A contrario l'usage de DROP n'a pas vraiment d'impact sur les attaquants/scripts/bots qui connaissent déjà l’existence du service (qu'il tentent d'attaquer en force brute). A ce sujet voir également http://www.chiark.greenend.org.uk/~peterb/network/drop-vs-reject
+On peut toutefois changer se comportement par défaut si on le souhaite en éditant le fichier /etc/fail2ban/action.d/iptables-common.conf et en modifiant la valeur de la variable **blocktype**:
+<file>
+# Option:  blocktype (ipv6)
+# Note:    This is what the action does with rules. This can be any jump target
+#          as per the iptables man page (section 8). Common values are DROP
+#          REJECT, REJECT --reject-with icmp6-port-unreachable
+# Values:  STRING
+#blocktype = REJECT --reject-with icmp6-port-unreachable
+blocktype = DROP
+</file>
 ===== Usage =====
@@ Ligne 109: / Ligne 150: @@
 <note>
-Les valeurs spécifiées via la ligne de commande sont immédiatement effectives mais seront remplacées par celles définies dans les fichiers de configuration lorsque la configuration sera rechargée ou le service redémarré.
+Les valeurs spécifiées via la ligne de commande sont effectives immédiatement mais seront remplacées par celles définies dans les fichiers de configuration lorsque la configuration sera rechargée ou le service redémarré.
 </note>
@@ Ligne 128: / Ligne 169: @@
   * https://www.kali-linux.fr/configuration/proteger-ssh-avec-fail2ban
   * https://doc.ubuntu-fr.org/fail2ban
+  * https://wiki.chotaire.net/linux-fail2ban

wikinotes

Outils pour utilisateurs

Outils du site

Différences

Outils de la page