Project

General

Profile

Demande #5114

Muscler un peu fail2ban

Added by François Poulain 11 months ago. Updated 10 months ago.

Status:
Fermé
Priority:
Normale
Category:
-
Start date:
01/10/2021
Due date:
% Done:

0%

Estimated time:

Description

Parmis les gens coupés par le fwall, il y en a qui abusent un peu. On peut leur couper les vivres. Par ex :

=(^-^)=root@maine:~# journalctl --since today | grep -i 'kernel: DROP' | grep -o 'SRC=[^ ]*' | sort | uniq -c | sort -h | tail -50
     40 SRC=45.129.33.15
     40 SRC=45.129.33.165
     40 SRC=45.129.33.169
     42 SRC=135.148.25.98
     42 SRC=45.129.33.82
     43 SRC=45.129.33.162
     44 SRC=130.61.116.104
     44 SRC=45.129.33.185
     44 SRC=45.129.33.5
     44 SRC=45.129.33.6
     46 SRC=192.168.1.57
     46 SRC=45.129.33.129
     46 SRC=45.129.33.8
     47 SRC=45.129.33.186
     48 SRC=45.129.33.9
     48 SRC=77.121.10.115
     49 SRC=185.107.96.3
     49 SRC=45.129.33.12
     49 SRC=45.129.33.84
     50 SRC=45.129.33.10
     54 SRC=51.89.191.147
     56 SRC=45.129.33.14
     57 SRC=103.145.13.58
     60 SRC=34.192.55.182
     61 SRC=45.129.33.59
     61 SRC=94.102.51.28
     63 SRC=45.155.205.103
     65 SRC=139.99.252.82
     65 SRC=146.88.240.4
     69 SRC=135.148.25.101
     74 SRC=94.102.49.191
     93 SRC=2a01:cb09:b062:6588:d1c8:eaaa:614a:1505
    158 SRC=108.179.242.155
    161 SRC=45.129.33.151
    183 SRC=51.222.143.1
    202 SRC=45.129.33.152
    212 SRC=45.129.33.40
    217 SRC=162.235.47.190
    261 SRC=106.240.239.26
    438 SRC=89.248.169.94
    439 SRC=80.82.70.25
    514 SRC=180.246.149.83
    574 SRC=195.54.161.151
    581 SRC=89.248.162.161
    727 SRC=171.224.180.78
   1398 SRC=76.192.120.115
   2447 SRC=192.168.1.4
   2447 SRC=192.168.1.5
   3301 SRC=79.124.62.82
  20288 SRC=240e:00f7:4f01:000c:0000:0000:0000:0003

History

#1

Updated by Laurent POUJOULAT 11 months ago

Pour information, il y a une jail qui se nomme "recidive" qui permet de virer ceux qui abusent (récidivent). En mettant 3 mois sur recidive on est généralement tranquille.

#2

Updated by Christian P. Momon 11 months ago

Ça a l'air bien ça \o/

#3

Updated by François Poulain 11 months ago

Les 192.168.1.4 et 192.168.1.5 c'est bootp qu'on n'utilise pas. On pourrait le désactiver (et quoi qu'il en soit whitelister ces deux ip dans fail2ban).

#4

Updated by François Poulain 10 months ago

J'ai ajouté sur bastion recidive et nginx-botsearch.

#5

Updated by François Poulain 10 months ago

  • Status changed from Nouveau to En cours de traitement

J'ai fait une tentative sur maine de bloquer celles et ceux qui abusent de se faire dropper des paquets. Je dupliquerai sur coon si c'est concluant.

#6

Updated by François Poulain 10 months ago

  • Status changed from En cours de traitement to Résolu

Ça a l'air concluant ; j'ai dupliqué sur coon.

#7

Updated by Christian P. Momon 10 months ago

  • Assignee set to François Poulain
#8

Updated by Quentin Gibeaux 10 months ago

  • Status changed from Résolu to Fermé
#9

Updated by Christian P. Momon 10 months ago

  • Target version changed from Backlog to Sprint 2021 janvier

Also available in: Atom PDF