Bonjour, J'avais une méthode radicale, mais dangereuse avec iptables: iptables -A INPUT -p tcp --dport ssh -m state --state NEW -m recent --set --name SSH iptables -A INPUT -p tcp --dport ssh --match state --state NEW -m recent --update --seconds 60 --hitcount 3 --rttl --name SSH -j DROP
Le principe de la règle est simple, si quelqu'un tente de faire plus de 3 connexions ssh en moins de 60s, l'IP est bannie pendant un certain temps. Le problème et qu'il ne fait pas la différence entre connexion réussie et connexion échouée, du coup un utilisateur "normal" est soumis aux même règles. (peut s'arranger avec --source éventuellement, j'avais configuré ça pour mon réseau local) Cordialement, Andreas On Dec 19, 2010, at 10:38 AM, Nicolas KOWALSKI wrote: > Pascal Hambourg <pascal.m...@plouf.fr.eu.org> writes: >> Nicolas KOWALSKI a écrit : >>> Il y a une autre méthode basée sur iptables, simple et sûre, en lieu >>> et place de fail2ban ? >> >> Tu veux dire une méthode non basée sur les logs d'échec de sshd ? >> Je n'en connais pas. > > Oui, je pensais à ce type de méthode. Dommage, j'aimais bien cette > simplicité d'utilisation. > >> L'analyse des logs a le double avantage de protéger raisonnablement >> contre l'usurpation d'adresse (très difficile d'établir une >> connexion TCP en usurpant l'adresse source sur internet, et pas de >> log si pas de connexion) et de ne sanctionner que les échecs. > > Bon, je vais refaire des essais avec fail2ban alors. > > Merci pour toutes ces précisions. > > -- > Nicolas -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/7e073549-3824-4023-bda3-4574fa94f...@free.fr
