Encore un problème de bannissement "Fail2ban"

Pour entrer dans la gestion de la galerie photos de mon site (Piwigo), je me connecte en tant qu’administrateur mais sitôt fait, le site se ferme.
J’ai pensé à vérifier Iptables et, en effet, une IP se trouve “Droppée”, qui ne l’était pas juste avant.
[mono]-A fail2ban-apache-admin -s 192.168.0.254/32 -j DROP[/mono]
J’ai vérifié en supprimant cette ligne et le doute n’est pas permis.
Je n’ai jamais eu ce problème auparavant et je suppose que c’est dû à une modification lors d’une mise à jour de Piwigo, il y a quelques temps.

1/ J’ai règlé l’affaire en plaçant un [mono]ignoreip = 192.168.0.254/32[/mono] en fin du fichier jail.conf de fail2ban mais je ne suis pas sûr que cela soit très “propre” . Votre avis sur ce plan :question:

2/ je pensais être couvert avec la ligne suivante déjà présente, mais … non :
[mono]ignoreip = 192.168.0.0/24[/mono]
À moins qu’il ne s’agisse d’une question de position dans les IPs à ignorer car cette ligne est en tête de fichier ?
Vos conseils pour la position des IPs à ignorer dans fail2ban :question:

Et un merci d’avance.

1/ Avant de pouvoir répondre, à quelle machine correspond l’adresse 192.168.0.254 ?
2/ Je ne maîtrise pas assez fail2ban pour te répondre sur ce point.

[quote=“PascalHambourg”]1/ Avant de pouvoir répondre, à quelle machine correspond l’adresse 192.168.0.254 ?
2/ Je ne maîtrise pas assez fail2ban pour te répondre sur ce point.[/quote]
Je n’en sais strictement rien :017
Je viens de vérifier le réseau local DHCP et le début de ma plage d’adresse est
[mono]192.168.0.2[/mono]
fin de la plage = [mono]192.168.0.50[/mono]

Mais en fouillant en dessous, j’ai vu l’adresse [mono]192.168.0.254[/mono] en regard de "serveur DNS1.
Il y en a quatre autres (2;3;4;5) mais leur ligne est vierge.

EDIT :
Quelle est la commande qui permet de trouver à quelle machine correspond une adresse IP ?

EDIT 2 :
D’après ‘netdiscover’, [mono]192.168.0.254[/mono] correspond à la FreeBox

Il n’y a pas de commande universelle qui permet à coup sûr d’identifier une machine à partir de son adresse IP. Parfois le reverse DNS de l’adresse IP (avec host, dig, nslookup…) est suffisamment parlant. Avec l’adresse MAC (obtenue par résolution ARP à partir de l’adresse IP si on est dans le même réseau, avec arping…), on peut parfois identifier le constructeur de l’équipement ou de la carte réseau, mais dans le cas d’une carte réseau no-name cela n’apportera pas grand chose. On peut essayer de déterminer son type de système d’exploitation par “fingerprinting” (par exemple avec nmap -O). Enfin on peut explorer les services disponibles (serveur web…) pour essayer de l’identifier.

Tu ne connaissais pas l’adresse de ta box ? Elle figure aussi comme adresse de passerelle par défaut. Si elle figure comme DNS, alors cela doit être une version 6 car les versions antérieures ne font pas relais DNS.

Où se trouve ton site Piwigo ? D’où y accèdes-tu ? Par quel nom et/ou adresse IP ? J’aurais tendance à penser que le site est sur un serveur dans ton LAN, tu y accèdes depuis une autre machine du LAN, via un nom qui point vers l’adresse IP publique de la box qui redirige vers le serveur, il s’agit donc d’une redirection interne qui nécessite que la box remplace l’adresse source du client par sa propre adresse 192.168.0.254 (NAT source) pour que ça marche. J’ai bon ?

Alors propre? pas sur , tu mets juste une IP en whitelist, après sachant que c’est l’ip de la box…
Si l’ip source ne changent pas lors du FW d’une trame par un routeur, alors tu peux laisser comme tel sinon NON
Edit : D’après le poste de pascal , donc NON ARCHI NON C’est pas secure :p.

Il faut que la ligne soit dans la section “default” :

[DEFAULT]
ignoreip = 192.168.0.0/24

Après sinon oui la ligne est bonne, tu peux bannir des plages d’adresse, si tu veux la source de l’info : fail2ban.org/wiki/index.php/Whitelist

Edit :
Petit ajout, si tu mets plusieurs ips dans ta whitelist il faut les saisir comme ceci par exemple :

ignoreip = 192.168.0.1/32, 82.44.36.22/32, 127.0.0.1/8

[quote=“PascalHambourg”]
Tu ne connaissais pas l’adresse de ta box ? Elle figure aussi comme adresse de passerelle par défaut. Si elle figure comme DNS, alors cela doit être une version 6 car les versions antérieures ne font pas relais DNS.[/quote] Oui, c’est la FreeBox Révolution, donc la V6.

[quote=“PascalHambourg”]
Où se trouve ton site Piwigo ? D’où y accèdes-tu ? Par quel nom et/ou adresse IP ? J’aurais tendance à penser que le site est sur un serveur dans ton LAN, tu y accèdes depuis une autre machine du LAN, via un nom qui point vers l’adresse IP publique de la box qui redirige vers le serveur, il s’agit donc d’une redirection interne qui nécessite que la box remplace l’adresse source du client par sa propre adresse 192.168.0.254 (NAT source) pour que ça marche. J’ai bon ?[/quote] Tout bon !
Site Piwigo sur mon serveur/maison (le seul ‘apache’ que j’aie).
Oui, j’administre cette galerie directement via mon navigateur (IW) et à partir de ma machine principale (ordibureau) qui est dans le LAN avec le serveur. C’est le plus pratique et ça ne m’a jamais posé de problèmes de la sorte auparavant.

[quote=“Kristy”]
Il faut que la ligne soit dans la section “default” :
Code:
[DEFAULT]
ignoreip = 192.168.0.0/24[/quote]
Elle l’était.
Merci pour le lien, je vais me pencher dessus.

L’inconvénient avec la redirection interne, c’est que la box masque l’adresse source réelle du client, contrairement à l’accès direct au serveur via son adresse privée. Du coup, on ne peut pas vraiment être sûr que la mise au ban est causée par ton poste, une autre machine (wifi activé ?), ou la box elle-même.

Il faudrait regarder dans les logs d’apache et de fail2ban la raison du ban.

Merci Pascal, je vais essayer de voir ça.
Je tiendrai au courant.

Normalement, quand tu te fais ban par fail2ban si tu fais un “iptables -L”, il est ecrit quelle règle/filtre de f2b est à l’origine de ton ban.
Selon la règle à l’origine du ban tu pourras peut être juger si c’est toi , ou quelqu’un d’autre.

[quote=“Kristy”]Normalement, quand tu te fais ban par fail2ban si tu fais un “iptables -L”, il est ecrit quelle règle/filtre de f2b est à l’origine de ton ban.
Selon la règle à l’origine du ban tu pourras peut être juger si c’est toi , ou quelqu’un d’autre.[/quote]
Oui, ça je sais et je connais la règle fail2ban en question : [mono]fail2ban-apache-admin[/mono]J’ai fait les tests suffisants pour être sûr que c’est bien à la suite de ma tentative de connexion à l’administration de Piwigo via la navigateur.
Je peux très bien visiter ma galerie, que ce soit en local ou en exterieur, c’est uniquement son administration via web qui provoque ce ban.
Bien sûr, on peut aussi administrer en ligne mais c’est tellement plus simple à faire via le web pour une simple petite commande, qu’il serait dommage de s’en priver.
J’ai refait une tentative, qui a confirmé le bannissement et je vais aller fouiller les logs.
Je donne le résultat en réponse.

Rien vu d’extraordinaire.
Je vais chercher à approfondir mes connaissances en matière de fail2ban, que j’aime bien comme “gardien”.
Je vais essayer de trouver un tuto explicite et en FR moins moins fatiguer mon neurone.
En attendant, j’ai supprimé cette liste blanche et je ferai en sorte de ne pas me servir de l’admin Piwigo, ce qui ne m’arrive que rarement.

Qu’est-ce que cette règle fail2ban-apache-admin a de particulier par rapport à la règle générique pour apache ?

C’est justement ce genre de chose que je veux approfondir.
Au départ, je n’avais fait que bêtement recopié les tutos dont celui de Lol sur le wiki.
Je ne peux donc pas te répondre avant d’avoir mis un peu plus les mains dans le cambouis.
Je m’y mets à partir de demain.

Il suffit que tu nous donnes le code du fichier de filtre correspondant (/etc/fail2ban/filter.d/apache-*).

Peut être une regex qui filtre sur les urls type /admin /wp-admin etc… non ? ^’.

Voici celui qui me semble concerné : [mono]/etc/fail2ban/filter.d/apache-admin.conf[/mono]

[code]# Fail2Ban configuration file

Author: Cyril Jaquier

$Revision: 471 $

[Definition]

Option: failregex

Notes.: regex to match the password failure messages in the logfile. The

host must be matched by a group named “host”. The tag “” can

be used for standard IP/hostname matching.

Values: TEXT

[client x.x.x.x] File does not exist: /home/www/admin/admin,

failregex = [[]client []] File does not exist: .*admin|PMA|mysql

Option: ignoreregex

Notes.: regex to ignore. If this regex matches, the line is ignored.

Values: TEXT

ignoreregex =
[/code]

Sinon, voici la liste entière des apache-* :

[mono]/etc/fail2ban/filter.d/apache-404.conf /etc/fail2ban/filter.d/apache-myadmin.conf
/etc/fail2ban/filter.d/apache-admin.conf /etc/fail2ban/filter.d/apache-nohome.conf
/etc/fail2ban/filter.d/apache-auth.conf /etc/fail2ban/filter.d/apache-noscript.conf
/etc/fail2ban/filter.d/apache-badbots.conf /etc/fail2ban/filter.d/apache-overflows.conf
/etc/fail2ban/filter.d/apache-common.conf /etc/fail2ban/filter.d/apache-w00tw00t.conf[/mono]

Mais seuls les suivant sont “true” chez moi :

[mono]/etc/fail2ban/filter.d/apache-myadmin.conf
/etc/fail2ban/filter.d/apache-admin.conf
/etc/fail2ban/filter.d/apache-auth.conf
/etc/fail2ban/filter.d/apache-noscript.conf
/etc/fail2ban/filter.d/apache-overflows.conf
/etc/fail2ban/filter.d/apache-w00tw00t.conf[/mono]

J’ai fait un grand ménage dans fail2ban et j’ai tout vérifié : rien ne semble concerner ce bannissement de l’administration de Piwigo.
Seule une chose m’est complètement incompréhensible. Je vous la soumets telle qu’elle était dans la conf de fail2ban :
[mono]# DNS Servers

These jails block attacks against named (bind9). By default, logging is off

with bind9 installation. You will need something like this:

logging {

channel security_file {

file “/var/log/named/security.log” versions 3 size 30m;

severity dynamic;

print-time yes;

};

category security {

security_file;

};

};

in your named.conf to provide proper logging

!!! WARNING !!!

Since UDP is connectionless protocol, spoofing of IP and immitation

of illegal actions is way too simple. Thus enabling of this filter

might provide an easy way for implementing a DoS against a chosen

victim. See

nion.modprobe.de/blog/archives/6 … -fail.html

Please DO NOT USE this jail unless you know what you are doing.

#[named-refused-udp]

#enabled = false
#port = domain,953
#protocol = udp
#filter = named-refused
#logpath = /var/log/named/security.log

[named-refused-tcp]

enabled = true
port = domain,953
protocol = tcp
filter = named-refused
logpath = /var/log/named/security.log[/mono]

Affaire règlée :
Il s’agissait d’une simple connerie, comme d’habitude, de blocage de mon site par “adblock” sur un navigateur dont je ne me sers que pour lui : Konqueror.
Après tout mon ménage, j’ai fait l’essai via IW et tout se passait parfaitement. Chouette me suis-je dit, “Eureka !”. Par acquis de conscience, j’ai tenté l’entrée via Konqueror et vlan, ça rebanne :013 . C’est là où j’ai pensé à ce genre de pièges : adblock et autre Noscript.
Quand j’ai installé mon ordibureau, je n’ai pas pensé à tout :unamused:
Ça m’aura permis de faire un peu de ménage dans Fail2ban et d’en comprendre un peu mieux son fonctionnement.
À la prochaine connerie pour vous demander de l’aide :005

Je dois manquer d’imagination, mais je ne vois pas comment un blocage de site par un navigateur peut entraîner un blocage du client par fail2ban. Pour moi ce n’est pas normal.

Je me suis aussi posé la question mais comme j’aurais été incapable d’en trouver la réponse, je n’ai même pas charché à approfondir la chose.
Cet AM, je chercherai la ‘conf’ en question et je la posterai ici. Ptet te dira-t-elle quelque chose, à toi, certainement, d’ailleurs.