Surveillance de port

Bonjour,

Je suveille les ports SSH et https sur ma machine logue toutes les connections sur ce ports grâce à ulog et iptables. Or je trouve que j’ai peux de tentatives de connections sur ces deux ports pourtant très scanner sur internet, a peines 1 voir 2 pour jours.

Est ce que mes règles iptables ne sont pas efficaces ou c’est ulog?

Je met ci join ma façon de loguer les connections, Attention mon serveur ssh est en écoute sur le port 443 et sur le port 22 c’est un petit serveur que j’ai fais juste pour avoir une idée du nombres de scan:

SSHPORT="443"

#Définissions règles utilisateurs
iptables -t filter -N ULogDrop
iptables -t filter -A ULogDrop -j ULOG --ulog-prefix=TRAFFIC_DROP
iptables -t filter -A ULogDrop -j DROP

iptables -t filter -N ULogAccept
iptables -t filter -A ULogAccept -j ULOG --ulog-prefix=TRAFFIC_ACCEPT_SRV
iptables -t filter -A ULogAccept -j ACCEPT

iptables -t filter -N ULogAcceptSSH
iptables -t filter -A ULogAcceptSSH -j ULOG --ulog-prefix=TRAFFIC_ACCEPT_SSH
iptables -t filter -A ULogAcceptSSH -j ACCEPT

#On bloque tous
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

#On authorise tous les connection entrante est sortante déja établie
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

for INTERFACE in ${INTERFACES[@]}
{

....

 #On accepte les connections sur le serveur SSH
        iptables -A INPUT -i $INTERFACE --protocol tcp --destination-port $SSHPORT -j ULogAcceptSSH
        iptables -A OUTPUT -o $INTERFACE --protocol tcp --source-port $SSHPORT -j ULogAcceptSSH

        #Bannis l'IP après 3 SYN pendant 300 secondes
        #iptables -I INPUT -p tcp --dport $SSHPORT -i $INTERFACE -m state NEW -m recent --set
        #iptables -I INPUT -p tcp --dport $SSHPORT -i $INTERFACE -m state NEW -m recent --update --second 300 --hitcount 3 -j DROP

        #On accepte les connections sur le port SSH
        iptables -A INPUT -i $INTERFACE --protocol tcp --source-port 22 -m state --state ESTABLISHED -j ACCEPT
        iptables -A OUTPUT -o $INTERFACE --protocol tcp --destination-port 22 -m state --state NEW,ESTABLISHED -j ACCEPT

Qu’en pensez vous? Utilisez vous d’autre soft pour surveiller certain port (portsentry …) plus sensible qu’iptable et ulog?

Merci

Mais :open_mouth: le port ssh, c’est le 22, pas le 443 (https).
Tu as effectivement peu de scan à attendre sur le port 443, c’est pas anormal.
Pour info, fail2ban donne une bonne protection de l’accés ssh.

Oui le port ssh c’est le 22, mais j’ai réconfigurer le serveur pour qu’il soit sur le 443.

Sur le 22 j’ai un petit serveur que j’ai fais moi même qui me sert à remonter des tentatives de connections via ulog et iptables.

Mais même sur ce serveur en écoute sur le port 22, ben y se passe pas grand chose. 2 connections max par jours remonter par ulog et iptable.

Je cherche pas a sécuriser plus l’accès au serveur ssh, mais à logger toutes tentatives de connections et de scan sur ma machine.