Bannir une IP avec iptables

Support Debian
#1

Bonjour,

J’ai pour habitude de bannir certaines IP directement avec IPtables. Sans aucune sauvegarde,ce qui effacera tout ceci au redémarrage. Jusqu’à présent ça m’as évité un tas de soucis avec des bots ou serveur insistant.
Mais depuis hier soir j’ai des bots qui tente de spammer certains de mes sites avec pour exemple d’IP : 94.153.8.138

et un iptables -I INPUT -s 94.153.8.138 -j DROP ne semble pas suffisant pour l’empêcher de continuer à harceler le site web.

je suis un peu perdu la, comment en étant banni de tous les services il peut continuer à les utiliser ?

#2

Sur le web, difficile d’y échapper.
J’ai tous les jours des essais.

A total of 2 sites probed the server 105.153.108.34 74.58.1.20
Si ce n’est fait, installe fail2ban avec un temps de bannissement assez élevé.

#3

Salut,

Mais attention, en interdisant les bots tu te prives aussi de leur référencement :slightly_smiling:

#4

Nan mais la fail2ban n’as rien a voir. Car il s’agit de bots qui complète automatiquement des formulaires. Il ne font rien de répréhensible pour le serveur. Je veux simplement les bannir jusqu’au prochain redémarrage ce qui affectera l’accès à tous les sites de la machine depuis leur IP. Et tant qu’a faire, puisque ce sont des bots, je mets tous les services, ça évitera de les retrouver en ssh ou autre.

[quote]Salut,
Mais attention, en interdisant les bots tu te prives aussi de leur référencement [/quote]
Ha bon ? quelle référencement ? La je suis hyper curieux sur le coup.
En quoi un bot qui te flood améliore ton référencement ?
Il améliore SON référencement, certainement pas le mien !

Ma question est : comment une IP ban sur tous services peut encore accéder au service web ??

#5

As-tu vérifié que la règle iptables est bien présente en début de chaîne ?
Est-ce bien la même adresse et pas une adresse ressemblante ? Comment l’as-tu relevée ?

#6

Il s’agit de bot pour les commentaires sur mon blog wordpress.
je reçois par exemple ceci :
Auteur : cUmRZPMxAN (IP : 46.119.115.224 , SOL-FTTB.224.115.119.46.sovam.net.ua)
Je fais donc un iptables -I INPUT -s 46.119.115.224 -j DROP pour bloquer tout ce qui vient de cet IP.

[quote]
As-tu vérifié que la règle iptables est bien présente en début de chaîne ?[/quote]
La je te comprend pas. Je fais un ban manuel de l’IP. Ca devrait donc l’empêcher d’accéder à tous les services du serveur non ?

Si je fais cette commande avec mon IP, j’ai plus accès à rien, ni le web, ni ssh etc…

#7

Quand quelque chose ne fonctionne pas comme prévu, la première chose à faire est vérifier que les commandes font bien ce qu’elles sont censées faire. Ici : insérer une certaine règle en début de chaîne INPUT. Donc vérifier que cette règle est bien présente en début de chaîne et correspond à ce qu’on a écrit.

L’adresse IP que tu récupères, elle vient d’où ? Est-ce bien l’adresse IP réelle de la connexion TCP (REMOTE_ADDR) ou bien une adresse transmise dans un en-tête HTTP du type CLIENT_IP ou X_FORWARDED_FOR (facilement falsifiable) ?

#8

Ha ca c’est une bonne question. Ne connaissant pas les sources de wordpress, je ne sais pas du tout ou il va chercher son IP.
J’vais vérifier les logs du serveur pour les comparer à ce que WP m’envoi pour voir. J’avais pas pensé à cela.

Merci !

#9

Il me semble prématuré de marquer le sujet comme résolu tant que tu n’as pas confirmé que le problème vient de là.

#10

L’idée m’as permis d’avancer et de trouver une solution, c’était donc bon pour moi.
Et en effet, l’ip donné dans le mail n’est pas la bonne. En bannissant les IP provenant des logs, je n’ai plus de soucis.

Je vais donc maintenant analyser les logs, tachez de créer un filtre pour fail2ban qui va gérer ça pour moi. J’ai déjà lié un site perso à fail2ban et ça marchait du tonnerre. Je vais travailler cette idée la.

Ta réponse m’as permis de trouver la ou je merdais. Le reste c’est que du technique, les documentations me permettront d’arriver à mes fins :slightly_smiling:

#11

[quote=“Noobozore”]L’idée m’as permis d’avancer et de trouver une solution, c’était donc bon pour moi.

[/quote]
Et pour les autres, tu t’en fous ?
Tu t’inscris sur un forum pour demander de l’aide,
grâce à la réponse d’un membre, tu trouves la solution à ton problème.
Si ce membre, Pascal en l’occurrence, ne t’avais pas raccroché, tu partais sans même dire merci ?
Ce n’est pas sympa pour la communauté.
Il faut se dire que les questions que l’on pose, même si on y répond soi-même, peuvent servir à un autre membre, qui rencontrerait les mêmes problèmes.
Cela dit, tu seras toujours le bienvenu :006

#12

Voici donc le résumé du sujet :

1° Le problème est qu’un ban d’ip via iptables n’empêcher pas l’ip d’accéder au service web du serveur
2° Pascal m’as fait comprendre que l’IP reçu était mauvaise et falsifié dans l’entête HTTP.
3° En comparant les dates et heure des logs, j’ai pu identifier les bonnes IP et les bannir plutôt que de bannir des IP fausses.

Je vois pas le problème. Tout membre confronté à ce problème sait en lisant le sujet qu’il ne faut pas se fier aux IP reçu dans l’entête HTTP de wordpress pour bannir sous iptables.

[quote]Tu t’inscris sur un forum pour demander de l’aide,
grâce à la réponse d’un membre, tu trouves la solution à ton problème.
Si ce membre, Pascal en l’occurrence, ne t’avais pas raccroché, tu partais sans même dire merci ?[/quote]
Post 7

Bref j’ai vraiment pas compris ta réaction Ricardo.
Maintenant si vous préférez mettre le sujet en non résolu, moi ça me pose pas de problème hein.

En attendant mes deux wordpress ( les jeux par navigateur et soigner les hémorroïdes ) sont maintenant sécurisés ! Merci Pascal.