Problème avec iptables

bagou450 · Le 17/04/2021, à 12:09

Comment configurer fail2ban auriez vous une documentation ou autre sur le quel je peut me baser? (c est pour des serveurs minecraft, fivem , gmod)

iznobe · Le 17/04/2021, à 12:13

https://doc.ubuntu-fr.org/fail2ban

bagou450 · Le 17/04/2021, à 12:33

Donc si je comprend bien je fait une jail sur le port que je veux et sur le protocole udp pour bloquer automatiquement les ips?

Et si je bloque a la main les ips avec fail2ban-client set (nom du jaiil) banip (ip) cela fonctionneras ou pas?

bruno · Le 17/04/2021, à 12:46

iznobe a écrit :

Si vraiment tu subis des attaques DDOS , fail2ban peut etre interressant , il permet de limiter la casse .

Non plus, fail2ban est totalement inefficace pour ce type d'attaque. J'ai déjà donné le lien mais je rappelle que DDOS signifie attaque par déni de service distribuée. Ce qui signifie que ce type d'attaque consiste à envoyer des milliers de requêtes à partir de milliers de machines, donc d'IP, différentes.

Fail2ban s'utilise pour limiter l'effet potentiel d'attaques par force brute sur un service donné (SSH, SMTP, etc.)

bagou450 a écrit :

c est pour des serveurs minecraft, fivem , gmod

Plutôt que t'acharner sur la configuration d'un pare-feu (probablement inutile) tu ferais mieux de te préoccuper de la sécurité des service que tu héberges. Car quellle que soient les règles de filtrage que tu mets en place ces service seront eux forcément accessibles à tous.

Dernière modification par bruno (Le 17/04/2021, à 12:51)

bagou450 · Le 17/04/2021, à 12:48

Oui sauf que si je bloque les milliers d ips qui attaque avant qu elles attaque cela seras bon non?

bruno · Le 17/04/2021, à 12:51

Sauf que tu n'a aucun moyen de savoir quelles IP vont être à l'origine d'une attaque. À moins que tu aies des dons de voyance…

bagou450 · Le 18/04/2021, à 10:48

J'ai déja une liste de 60000 ips

Donc j'ai voulue les bloquer avec iptables mais cela na pas fonctionner
d'apres ce que vous me dites cela ne fonctionneras pas non plus avec fail2ban
je diois utilisez quoi alors?

Dernière modification par bagou450 (Le 18/04/2021, à 10:52)

jplemoine · Le 18/04/2021, à 11:08

C'est un peu comme si tu voulais empêcher des voleurs d'entrer chez toi.
Tu peux les empêcher de pénétrer chez toi mais pas de passer devant chez toi.

Tu ne pourras pas empêcher l'attaque (puisque elle est prévue coté internet) mais faire en sorte de limiter ces conséquences.
Comme je te l'ai dit plus haut :
Dans un cas, l'attaque va provoquer un arrêt définitif du service : il faudra le relancer manuellement.
Dans l'autre cas (protection par fail2ban, par exemple), l'attaque va provoquer un arrêt du service (ça tu ne pourras rien faire) vu de l'extérieur mais les requêtes sont bloquées par des règles iptables.
Une fois que l'attaque a cessé, les règles iptables sont suppimées et le service reprend normalement sans intervention humaine.

Après il faut comprendre que l'on peut bloquer des ip en fonction de leur localisation (geoip). Par exemple, mon port 22 est bloqué pour les ip non "françaises".
Donc, les ip étrangères ne verront pas que cette ip peut-être accédées via ssh puisque le comportement sera le même que si le ssh n'était pas installé.

bruno · Le 18/04/2021, à 11:25

Elle sort d'où cette liste ? Comment peux-tu savoir qu'il est légitime de bloquer ces IP ?
Tu peux parfaitement les bloquer en ayant pour chaque IP une règle iptables par IP du type :

-A INPUT -s w.x.y.z -j DROP

par contre 60000 règles je ne sais pas si cela ne va pas mettre la pile réseau à genoux…

Encore une fois la bonne démarche est de tout bloquer par défaut et d'autoriser tout le monde sur les ports qui correspondent à des services ouverts publiquement.
Ensuite tu peux ajouter des filtres fail2ban pour limiter les abus, mais cela dépend des services que tu offres.

bagou450 · Le 18/04/2021, à 19:03

bruno a écrit :

Elle sort d'où cette liste ? Comment peux-tu savoir qu'il est légitime de bloquer ces IP ?
Tu peux parfaitement les bloquer en ayant pour chaque IP une règle iptables par IP du type :
-A INPUT -s w.x.y.z -j DROP
par contre 60000 règles je ne sais pas si cela ne va pas mettre la pile réseau à genoux…
Encore une fois la bonne démarche est de tout bloquer par défaut et d'autoriser tout le monde sur les ports qui correspondent à des services ouverts publiquement.
Ensuite tu peux ajouter des filtres fail2ban pour limiter les abus, mais cela dépend des services que tu offres.

Justement iptables ne bloque pas les requetes en provenance des ips que j'ai bloquer

La est le probleme

Ensuite fail2ban je ne voit pas quel filtre je pourrait mettre pour un serveur fivem et je ne trouve aucune info sur internet

bruno · Le 19/04/2021, à 13:53

Cela n'explique pas d'où sort cette liste de 60000 IP et pourquoi tu veux les bloquer…

Je ne sais pas ce qu'est fivem. Mais si tu utilises un services peu courant, il n'y a probablement pas de filt'e fail2ban existant pour ce service. Il va donc falloir écrire le tien en te basant sur les connexions abusives que tu observes dans les logs de ton service.

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#26 Le 17/04/2021, à 12:09

Re : Problème avec iptables

#27 Le 17/04/2021, à 12:13

Re : Problème avec iptables

#28 Le 17/04/2021, à 12:33

Re : Problème avec iptables

#29 Le 17/04/2021, à 12:46

Re : Problème avec iptables

#30 Le 17/04/2021, à 12:48

Re : Problème avec iptables

#31 Le 17/04/2021, à 12:51

Re : Problème avec iptables

#32 Le 18/04/2021, à 10:48

Re : Problème avec iptables

#33 Le 18/04/2021, à 11:08

Re : Problème avec iptables

#34 Le 18/04/2021, à 11:25

Re : Problème avec iptables

#35 Le 18/04/2021, à 19:03

Re : Problème avec iptables

#36 Le 19/04/2021, à 13:53

Re : Problème avec iptables

Pied de page des forums