Si tu as une IP dynamique c’est que tu as une connexion typée particulier derrière une box j’imagine ? Alors, tu peux bloquer ta propre IP malencontreusement >> tu redémarres ta box et tu as une nouvelle IP et tu accèdes à nouveau normalement à ton serveur distant. Du coup, IP dynamique= pas besoin de signaler d’ip à ignorer dans la conf portsentry.
Si je comprend bien.
Quoi qu’il en soit, même si mon ip n’est pas dans les ignorées, le seul moyen de me bloquer seul est de faire des erreur de connexion ?
En ip dynamique, si je viens à faire trop d’erreur et donc me faire ban, j’attends ma nouvelle ip, soit avec une reboot, un reset du rooteur soit en attendant le délais imposé par le fai.
Dans le cas d’un fais qui fonctionne avec un délais (si ca existe encore).
Autre solution : Passer par un vpn dont l’ip est fixe ?
Ca laisse d’autres accès à d’autres personnes du coup.
Le rapport qté de personnes sur la même ip contre le % de chance que l’une d’elle tente de passer en force … C’est risqué ?
Bonne journée
Rien à voir avec quelque erreur que ce soit, portsentry traque les IP qui font des scans de port. Tu confonds Fail2ban et Portsentry je crois.
- Le pare feu ( Iptables pour raccourcir ) ferme ou ouvre les ports qui te sont nécessaires.
- Fail2ban analyse les logs de connexions à différents service et ban ( temporairement pour 10 mn par défaut) les erreurs de connexion aux différents services ( ce qu’on appelle “erreur” est configurable pour les différents services )
- Portsentry repère et bloque ( si on le souhaite ) les Ips des scanneurs de port.
pour les services j’ai à peu prêt compris même si je fait encore des bourdes.
Mais si je ne note pas quelque part mon ip car elle est dynamique, je risque d’être bloqué à quelle moment ? Je vais pas faire de scan de port, je veux juste configurer le serveur depuis une ip dynamique.
En théorie et pour le tuto, j’ai juste besoin d’une expliquer que le risque et quand se déclenche le blocage. Il me semble que le seul risque est de se faire ban par fail2ban car l’ip ne sera pas dans ignoreip = , à la condition de looper ses loggin/pass de connexion ou autres erreurs définies selon le service utilisé.
Ici on est dans le topic sur portsentry non ?
Donc le seul risque de te faire bloquer ton ip serait de faire un scan de port de ton serveur depuis le poste sur lequel tu te connectes sans avoir demandé dans le fichier de conf ( via ignoreip= ) de ne pas tenir compte des scans depuis ton ip actuelle.
Fail2ban peut te bannir aussi sur tu te rates X fois en te connectant en ssh à ton serveur . Le ban dure ce qui est configuré dans la conf fail2ban et le nombre de ratage auquel tu as droit est aussi configuré dans la conf fail2ban comme cela t’a été expliqué dans la discussion que tu as ouvert pour fail2ban. Rien à voir avec Portsentry donc.
Le fait que tu travailles depuis une IP dynamique veut dire que cette IP change régulièrement. Du coup logiquement même si à un moment T cette IP est bannie de ton serveur, tu n’as qu’à utiliser le caractère “dynamique” de ton IP et donc la faire changer ( un reboot de box par exemple suffit)
Sincèrement, je ne vois plus ce qui reste incompréhensible pour toi.
Ok, désolé j’ai du prendre un virage qui fallait pas (portsenry-fail2ban).
Je pense avoir suffisamment bien saisie. J’ajoute cela à mon tuto.
Et je continu de tenter mon iptables.
C’est dur, c’est long, mais quand ça passe qu’est-ce que c’est bon.
… Je ne suis pas certain d’avoir utilise des mots adéquates …
Merci 
Salut,
A la lecture de tous tes fils, je vois que tu a bien avancé. Mais que tu mélanges encore un peu les choses; Tu es entré dans la technique, sans avoir potassé les bases.
Je serais toi, je laisserais décanter un peu avant de continuer…
Concernant portsentry:
Méfie toi, il est redoutable… Il est très sensible, et ce n’est pas la peine de faire un scan de port lourd pour se faire bannir…
Et la bannissement est permanent.
Soit tu as une solution de rechange pour accéder à ton serveur en cas de bannissement; soit ce sera le netboot pour enlever ton ip de iptables, hosts.deny et route…
Pour ma part, j’ai deux serveurs en ligne.
Au pire, si j’ai fait une connerie (je me fait bloquer…) je peux toujours accéder à un des deux en passant par l’autre.
Tu devrais t’entraîner sur une machine virtuelle, chez toi, avant de lancer les commandes sur ton serveur.
En cas de ban -> Cyberhost vpn
Non ?
Pour le reste, si je suis pas pret pour juin, continuer sera inutile.