Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#1 30-01-2016 18:28:03

benbouil95
Membre
Inscription : 28-01-2016

Restreindre le port 25565 a 1connexion/seconde maximum et autre.

Bonjour,
J'écris cette question car j'aimerais savoir comment sur un debian réduire la connexion sur le port 25565 a 1connexion maximum après ils sont refuser. Et aussi comment faire pour que si une ip se connecte plus de 20fois/minute la bannir pendant 1 jour ?

J'ai déjà essayer fail2jail mais je n'ai pas réussi a configurer pour ce port.

La dernière fois que j'ai fais avec iptables ça a bloquer tout le serveur....

Merci de votre aide
Benbouil95

Hors ligne

#2 30-01-2016 21:17:27

raleur
Membre
Inscription : 03-10-2014

Re : Restreindre le port 25565 a 1connexion/seconde maximum et autre.

1 connexion maximum en tout ou 1 connexion par seconde ?
Quel est le programme qui écoute sur ce port, si ce n'est pas indiscret ?

Hors ligne

#3 30-01-2016 21:49:09

benbouil95
Membre
Inscription : 28-01-2016

Re : Restreindre le port 25565 a 1connexion/seconde maximum et autre.

en gros il faudrait que chaque ip puisse ce co que 1 fois par seconde maximum, et s'il y a plus de 20 tentatives / minutes l'ip est banni pendant 1 jour.

Hors ligne

#4 30-01-2016 23:41:31

raleur
Membre
Inscription : 03-10-2014

Re : Restreindre le port 25565 a 1connexion/seconde maximum et autre.

Quand tu écris 20/minute, c'est vraiment 20 en une minute (ça peut être 1 par seconde pendant 20 secondes et rien pendant 40 secondes) ou bien 1 toutes les 3 secondes ?

Hors ligne

#5 31-01-2016 00:21:19

benbouil95
Membre
Inscription : 28-01-2016

Re : Restreindre le port 25565 a 1connexion/seconde maximum et autre.

il faut maximum 20 connexions de la même ip / minute, après ça peut être 20 pendant les 20 premières oui ...

Hors ligne

#6 31-01-2016 13:31:19

raleur
Membre
Inscription : 03-10-2014

Re : Restreindre le port 25565 a 1connexion/seconde maximum et autre.

Pour des connexions TCP, tu peux essayer ceci avec iptables.

# mise au ban pendant 1 jour si plus de 20 connexions en 1 minute
iptables -A INPUT -p tcp --syn --dport 25565 -m recent --name banned --rcheck --seconds $((24*60*60)) -j REJECT
iptables -A INPUT -p tcp --syn --dport 25565 -m recent --name bar --update --hitcount 20 --seconds 60 -m recent --name banned --set -j REJECT
iptables -A INPUT -p tcp --syn --dport 25565 -m recent --name bar --set

# limitation a 1 connexion/seconde par adresse IP source
iptables -A INPUT -p tcp --syn --dport 25565 -m hashlimit --hashlimit-burst 2 --hashlimit-above 1/second --hashlimit-mode srcip --hashlimit-name foo -j REJECT



Notes :
- La correspondance "recent" ne peut mémoriser qu'un nombre limité d'adresses IP égal à 100 par défaut, et de paquets par adresse IP égal à 20 par défaut. Un attaquant peut exploiter cette faiblesse pour contourner la limitation des connexions. En fonction des caractéristiques du trafic et des seuils des règles iptables, il peut être nécessaire d'ajuster ces valeurs via des paramètres du module xt_recent. Voir la page de manuel d'iptables ou iptables-extensions.

- Comme expliqué ci-dessus, le nombre de paquets mémorisés par défaut est juste suffisant pour le seuil de 20. Pour pouvoir augmenter ce seuil, il faut augmenter le nombre de paquets mémorisés défini par le paramètre ip_pkt_list_tot au chargement du module xt_recent.

Par exemple pour mémoriser jusqu'à 200 adresses et 30 paquets par adresse, créer un fichier /etc/modprobe.d/recent.conf contenant la ligne suivante :

xt_recent ip_list_tot=200 ip_pkt_list_tot=30

Dernière modification par raleur (31-01-2016 13:34:57)

Hors ligne

#7 31-01-2016 14:54:29

benbouil95
Membre
Inscription : 28-01-2016

Re : Restreindre le port 25565 a 1connexion/seconde maximum et autre.

Bonjour,
Merci pour ces infos ! si je cree un script juste avec ce que vous m'avez donner et que je le met en cron, cela marchera ?

Hors ligne

#8 31-01-2016 15:06:45

raleur
Membre
Inscription : 03-10-2014

Re : Restreindre le port 25565 a 1connexion/seconde maximum et autre.

Pourquoi en cron ? Ces règles sont à mettre en place une fois au démarrage du système.
S'il y a déjà d'autre règles iptables mises en place par un pare-feu, il faudra éventuellement faire des ajustements pour qu'elles cohabitent (exemple : ne se retrouvent pas après une règle qui a déjà tout ACCEPTé).
Quant au résultat, il faut tester, comme toujours. J'ai fait quelques tests sommaires mais je n'ai pas ton environnement.

Dernière note : REJECT notifie le refus de connexion à l'émetteur. Si tu préfères un blocage silencieux, remplace par DROP.

Hors ligne

#9 31-01-2016 18:02:14

benbouil95
Membre
Inscription : 28-01-2016

Re : Restreindre le port 25565 a 1connexion/seconde maximum et autre.

Bonjour,
A chaque fois que je redemarre mon serveur la regle ipatbles est censer ce supprimer non ? il ne faut pas les enregistrer ? juste les mettres une fois et c'est bon ?

Hors ligne

#10 31-01-2016 18:28:59

raleur
Membre
Inscription : 03-10-2014

Re : Restreindre le port 25565 a 1connexion/seconde maximum et autre.

Je répète : "ces règles sont à mettre en place une fois au démarrage du système". Si tu sais le faire via cron, pourquoi pas, mais la façon habituelle est plutôt via un script de démarrage. /etc/rc.local si on ne veut pas s'embêter.

Hors ligne

#11 31-01-2016 19:15:03

Kusajika
Membre
Inscription : 08-04-2015

Re : Restreindre le port 25565 a 1connexion/seconde maximum et autre.

Et avec iptables persistent ? ça pourrait être une solution ?

En ligne

#12 31-01-2016 21:18:40

robert2a
Membre
Lieu : France
Distrib. : Stretch
Noyau : Linux 4.8.0-1-amd64
(G)UI : Mate 1.16.1
Inscription : 15-11-2014

Re : Restreindre le port 25565 a 1connexion/seconde maximum et autre.

je crois qu il y a un tuto tongue   ok je => [] smile

Hors ligne

#13 31-01-2016 22:52:34

raleur
Membre
Inscription : 03-10-2014

Re : Restreindre le port 25565 a 1connexion/seconde maximum et autre.

Oui, peu importe la méthode, du moment que ça crée les règles au démarrage.

Hors ligne

Pied de page des forums