à vérifier :
action_multi = %(banaction)s[name=%(__name__)s, bantime="%(bantime)s", port="%(port)s", protocol="%(protocol)s", chain="%(chain)s"]
%(banaction)s[name=%(__name__)s, bantime="%(bantime)s", port="%(port)s", protocol="%(protocol)s", chain="%(chainforward)s"]
action = %(action_multi)s
Bonjour,
Je pense que c'est la bonne solution. Je vais vérifier ça demain soir.]]>
]]>
MoxSite a écrit :Sinon j'aimerai bien bannir sur les deux chênes, ainsi l'ip ne pourra accéder à aucun service que ce soit sur les conteneur ou le serveur hôte.
oui, enfin... si un port est en forward, c'est qu'il n'écoute pas sur le serveur... et s'il est en écoute, c'est qu'il n'est pas forwardé...
bloquer sur les deux systématiques, cela fait un peu manque de rigueur
tu devrais plutôt regarder les autres options, comme le bantime, par défaut 5min (600) c'est pas beaucoup...
J'ai déjà un bantime très élevé. En fait j'ai des services dans des conteneurs LXC et des services sur le hote, quand une IP est bannie à cause d'un service sur un conteneur LXC, j'aimerai qu'elle le soit en amont, donc le serveur hote, ainsi l'IP ne peut accéder aucun autre service. d'où utilisation des deux chênes. Après il y a peut-être une autre façon de faire.. :-)]]>
Sinon j'aimerai bien bannir sur les deux chênes, ainsi l'ip ne pourra accéder à aucun service que ce soit sur les conteneur ou le serveur hôte.
oui, enfin... si un port est en forward, c'est qu'il n'écoute pas sur le serveur... et s'il est en écoute, c'est qu'il n'est pas forwardé...
bloquer sur les deux systématiques, cela fait un peu manque de rigueur
tu devrais plutôt regarder les autres options, comme le bantime, par défaut 5min (600) c'est pas beaucoup...]]>
bonne question, tu teste et tu me dis si ça marche
mais si ça marche, pour chaque service tu auras un ban sur les 2 chaines... ce qui ne doit pas être gênant...
Tout à fait ! Je vais tester ça et je te tiens au courant.
Sinon j'aimerai bien bannir sur les deux chênes, ainsi l'ip ne pourra accéder à aucun service que ce soit sur les conteneur ou le serveur hôte.]]>
Une autre petite question, c'est possible d'utiliser les deux actions par défaut partout sans les mettre dans chaque service ? Genre en tête du fichier de configuration mettre quelques chose comme ceci :
]]>
tu as la chaine par défaut INPUT, et l'action de bannissement donné par action, qui va donc utiliser la chaine INPUT
tu peux modifier comme suit :
laissé l'action par defaut, mais au niveau de la configuration du service concerné, rajouté :
]]>
$IP_SRV = l'IP du serveur maître :-)
Quand je fais iptables -L, l'IP est bien listée comme étant bloquée, mais elle arrive quand-même à accéder au conteneur.
Je précise que je souhaite bloquer les IP en amont, c'est-à-dire sur serveur maître, c'est sur celui-ci que j'utilise un firewall (iptables). Avez-vous une idée ?
Le blocage ne se fait pas peut-être parce que le trafic est redirigé immédiatement (PREROUTING) avant même de contrôler si l'IP est bannie ? Si oui, comment peut-on y remédier ?]]>