[iptable] Bannir un ensemble de hosts similaires
Bannir un ensemble de hosts similaires [iptable] - réseaux et sécurité - Linux et OS Alternatifs
Marsh Posté le 10-04-2012 à 10:50:56
Déjà commence par avertir ovh via un mail abuse@ovh.net qu'il fasse le ménage chez eux...
Ensuite iptables/netfilter ne travaille pas avec les noms de domaines pour de multiples raisons :
- il ne va pas s'amuser à faire des reverses lookup à chaque packet qu'il reçoit (même avec un cache, ça serait complètement débile)
- pour une adresse IP donnée, de multiple FQDN/domaine peuvent être derrière et à un fqdn, plusieurs adresses IP peuvent être derrière
La dernière partie de cette article règlerait ton problème de manière propre
http://www.bortzmeyer.org/rate-limiting-dos.html
Message édité par o'gure le 10-04-2012 à 10:57:02
Marsh Posté le 10-04-2012 à 11:21:33
J'ai contacté le service abuse et je vais regarder le lien que tu proposes.
Merci pour cette réponse rapide 
Marsh Posté le 10-04-2012 à 17:55:12
Ce que tu veut faire, c'est de l’analyse de logs, et MàJ les règles iptables dans la foulée.
Ça ressemble beaucoup à fail2ban tout ça, de plus si je me souvient bien il est scriptable, ça doit être possible d'écrire un module pour gérer ce cas.
EDIT lien : http://www.fail2ban.org/wiki/index.php/Main_Page
Message édité par High Plains Drifter le 10-04-2012 à 18:01:40
---------------
| < Ceci n'est pas une pipe.
Sujets relatifs:
- Iptable + opnvpen + br0 mais traffic sort toujours par eth0
- Tous mes hosts sont DOWN
- Timeout session avec parfeu Iptable
- Nagios et fichier hosts.cfg
- Probleme avec mes Virtual Hosts Apache 2
- [PAM-LDAP] Controle des hosts par netgroups
- Creation de virtual hosts
- Debian et potsentry, Bannir des IP automatiquement !
- probleme de resolution de nom entre dns et fichier hosts
- comment faire ? iptable nat pdest random
Marsh Posté le 10-04-2012 à 10:43:49
Hello,
Mon serveur est régulièrement attaqué par un ensemble de serveurs chez OVH.
Dans les logs, ça ressemble à ça (extrait) :
ns209483.ovh.net - - [08/Apr/2012:19:14:15 +0200] "GET /forum/topic/19457-ecris-moi-ta-planete/ HTTP/1.0" 200 167087 "-" "-"
ns224191.ovh.net - - [08/Apr/2012:19:14:19 +0200] "GET /forum/topic/15360-voir-tous-les-messages-dun-membre/ HTTP/1.0" 200 150322 "-" "-"
ns209194.ovh.net - - [08/Apr/2012:19:14:10 +0200] "GET /forum/topic/20784-vos-scenes-cultes-de-films/ HTTP/1.0" 200 168610 "-" "-"
ns224191.ovh.net - - [08/Apr/2012:19:14:51 +0200] "GET /forum/topic/21485-bonsoir/ HTTP/1.0" 200 39352 "-" "-"
A grand coup d'iptable, j'arrive à faire redescendre la charge :
iptables -A INPUT -p all -s ns224191.ovh.net -j DROP
Ma question serait soit d'automatiser la tâche, soit de trouver une règle du genre :
iptables -A INPUT -p all -s ns*.ovh.net -j DROP
... puisque l'attaquant utilise (pour l'instant) tjrs des serveurs OVH
Seulement après recherche, iptable ne prends pas les caractères joker comme l'étoile.
Comment vous y prendriez-vous pour contrecarrer une telle attaque ?