Bonjour,
J’utilise shorewall comme banaction avec fail2ban. Il bloque bien les IP suivant les consignes qui sont paramétrées dans jail.local. Par contre, lorsqu’une IP est bannie dans plusieurs prisons, par exemple SASL, multiban, multiban2, si SASL relache l’IP alors elle est aussi relâchée pour multiban et multiban2. J’ai essayé avec banaction=iptables ou iptables-multiports mais fail2ban génère des erreurs au démarrage. j’ai trouvé sur le net des gens qui proposent de rajouter un waitstate quelque part dans le code du fail2ban-client mais ça ne change rien et je n’aime pas trop ce genre de solutions…
Si quelqu’un parmi vous utilise shorewall, j’aimerai bien voir qu’elle est le contenu de son fichier /etc/fail2ban/action.d/chorewall…
banaction et unbanaction tiennent-ils compte du nom de la prison lors du bannissement ou débannissement d’une IP ?
Le soucis est que les attaquants polluent trop les logs, je voudrais les ralentir. Le FW est déjà paramétré pour ne pas accepter plus de 1 connexion par 2 secondes
#ACTION SOURCE DEST PROTO DEST PORT(S) SOURCE ORIGINAL RATE
PORT(S) DEST LIMIT
DNAT net loc:192.168.2.100:22 tcp xxxx - 82.xxx.xxx.xxx 2/sec
DNAT net loc:192.168.2.101:443 tcp 443 - 82.xxx.xxx.xxx 2/sec
DNAT net loc:192.168.2.100:25 tcp 25 - 82.xxx.xxx.xxx 2/sec
DNAT net loc:192.168.2.100:80 tcp 80 - 82.xxx.xxx.xxx 2/sec
Je ne fais pas cela pour un travail mais pour mon serveur perso qui se trouve derrière ma box adsl (son routeur est désactivé).
Merci,
Franck