Iptables ne bloque pas les IP bannies

MoxSite · 12-09-2018 17:32:28

Bonsoir,

J'ai actuellement un serveur dédié que je protège avec différents outils, dont fail2ban et iptables. Le serveur héberge des conteneurs LXC, je redirige le trafic vers les conteneurs grâce au NAT avec iptables. Tout marche bien sauf pour bannir les IPs (brute force).

J'utilise ceci pour rediriger le trafic vers les conteneurs :

...

    iptables -t nat -I PREROUTING -p tcp -d $IP_SRV --dport 443 -j DNAT --to 192.168.xx.xx:443

    iptables -t nat -I PREROUTING -p tcp -d $IP_SRV --dport 80 -j DNAT --to 192.168.xx.xx:80

...

$IP_SRV = l'IP du serveur maître :-)

Quand je fais iptables -L, l'IP est bien listée comme étant bloquée, mais elle arrive quand-même à accéder au conteneur.

Chain INPUT (policy DROP)

target     prot opt source               destination         

....

....

DROP       all  --  77.xxx.xxx.xxx         anywhere

Je précise que je souhaite bloquer les IP en amont, c'est-à-dire sur serveur maître, c'est sur celui-ci que j'utilise un firewall (iptables). Avez-vous une idée ?

Le blocage ne se fait pas peut-être parce que le trafic est redirigé immédiatement (PREROUTING) avant même de contrôler si l'IP est bannie ? Si oui, comment peut-on y remédier ?

Dernière modification par MoxSite (12-09-2018 17:35:03)

Freemaster · 12-09-2018 17:53:40

Salut,

par défaut fail2ban banni sur la chaine INPUT, or dans ton cas il faudrait que ce soit sur la chaine FORWARD

si tu dois utiliser les deux méthodes sur le serveur, tu dois modifier ton fichier jail.conf

par defaut, il contient :

chain = INPUT

action_ = %(banaction)s[name=%(__name__)s, bantime="%(bantime)s", port="%(port)s", protocol="%(protocol)s", chain="%(chain)s"]

action = %(action_)s

tu as la chaine par défaut INPUT, et l'action de bannissement donné par action, qui va donc utiliser la chaine INPUT

tu peux modifier comme suit :

chain = INPUT

chainforward = FORWARD

action_ = %(banaction)s[name=%(__name__)s, bantime="%(bantime)s", port="%(port)s", protocol="%(protocol)s", chain="%(chain)s"]

actionforward_ = %(banaction)s[name=%(__name__)s, bantime="%(bantime)s", port="%(port)s", protocol="%(protocol)s", chain="%(chainforward)s"]

action = %(action_)s

laissé l'action par defaut, mais au niveau de la configuration du service concerné, rajouté :

action = %(actionforward_)s

MoxSite · 12-09-2018 18:57:16

Bonsoir,

@ Freemaster :
Merci beaucoup ça marche à merveille :-). Cependant j'ai adapté l'action, car j'utilisais une autre et avec le fichier de configuration personnalisé (jail.local) :

actionforward_mwl = %(banaction)s[name=%(__name__)s, bantime="%(bantime)s", port="%(port)s", protocol="%(protocol)s", chain="%(chainforward)s"]

                                  %(mta)s-whois-lines[name=%(__name__)s, sender="%(sender)s", dest="%(destemail)s", logpath=%(logpath)s, chain="%(chainforward)s"]

Une autre petite question, c'est possible d'utiliser les deux actions par défaut partout sans les mettre dans chaque service ? Genre en tête du fichier de configuration mettre quelques chose comme ceci :

action = %(action_mwl, actionforward_mwl)s

Dernière modification par MoxSite (12-09-2018 18:58:11)

Freemaster · 12-09-2018 19:06:11

bonne question, tu teste et tu me dis si ça marche

mais si ça marche, pour chaque service tu auras un ban sur les 2 chaines... ce qui ne doit pas être gênant...

MoxSite · 12-09-2018 19:09:27

Freemaster a écrit :

bonne question, tu teste et tu me dis si ça marche

mais si ça marche, pour chaque service tu auras un ban sur les 2 chaines... ce qui ne doit pas être gênant...

Tout à fait ! Je vais tester ça et je te tiens au courant.

Sinon j'aimerai bien bannir sur les deux chênes, ainsi l'ip ne pourra accéder à aucun service que ce soit sur les conteneur ou le serveur hôte.

Dernière modification par MoxSite (12-09-2018 19:09:41)

MoxSite · 12-09-2018 19:28:53

Bon ça ne marche pas :-). Si je ne trouve pas de solution, je vais faire un petit programme en Go pour chasser les méchants sur les deux chaînes de façon automatique, en fait ça sera un mini fail2ban fait maison

.

Freemaster · 12-09-2018 19:34:48

MoxSite a écrit :

Sinon j'aimerai bien bannir sur les deux chênes, ainsi l'ip ne pourra accéder à aucun service que ce soit sur les conteneur ou le serveur hôte.

oui, enfin... si un port est en forward, c'est qu'il n'écoute pas sur le serveur... et s'il est en écoute, c'est qu'il n'est pas forwardé...
bloquer sur les deux systématiques, cela fait un peu manque de rigueur

tu devrais plutôt regarder les autres options, comme le bantime, par défaut 5min (600) c'est pas beaucoup...

MoxSite · 12-09-2018 19:50:06

Freemaster a écrit :

MoxSite a écrit :
Sinon j'aimerai bien bannir sur les deux chênes, ainsi l'ip ne pourra accéder à aucun service que ce soit sur les conteneur ou le serveur hôte.

oui, enfin... si un port est en forward, c'est qu'il n'écoute pas sur le serveur... et s'il est en écoute, c'est qu'il n'est pas forwardé...
bloquer sur les deux systématiques, cela fait un peu manque de rigueur

tu devrais plutôt regarder les autres options, comme le bantime, par défaut 5min (600) c'est pas beaucoup...

J'ai déjà un bantime très élevé. En fait j'ai des services dans des conteneurs LXC et des services sur le hote, quand une IP est bannie à cause d'un service sur un conteneur LXC, j'aimerai qu'elle le soit en amont, donc le serveur hote, ainsi l'IP ne peut accéder aucun autre service. d'où utilisation des deux chênes. Après il y a peut-être une autre façon de faire.. :-)

Dernière modification par MoxSite (12-09-2018 19:51:09)

Freemaster · 12-09-2018 20:48:00

à vérifier :

action_multi = %(banaction)s[name=%(__name__)s, bantime="%(bantime)s", port="%(port)s", protocol="%(protocol)s", chain="%(chain)s"]

               %(banaction)s[name=%(__name__)s, bantime="%(bantime)s", port="%(port)s", protocol="%(protocol)s", chain="%(chainforward)s"]

action = %(action_multi)s

Dernière modification par Freemaster (12-09-2018 20:48:52)

MoxSite · 14-09-2018 11:40:39

Freemaster a écrit :

à vérifier :

action_multi = %(banaction)s[name=%(__name__)s, bantime="%(bantime)s", port="%(port)s", protocol="%(protocol)s", chain="%(chain)s"]
%(banaction)s[name=%(__name__)s, bantime="%(bantime)s", port="%(port)s", protocol="%(protocol)s", chain="%(chainforward)s"]

action = %(action_multi)s

Bonjour,

Je pense que c'est la bonne solution. Je vais vérifier ça demain soir.

Debian-facile

#1 12-09-2018 17:32:28

Iptables ne bloque pas les IP bannies

#2 12-09-2018 17:53:40

Re : Iptables ne bloque pas les IP bannies

#3 12-09-2018 18:57:16

Re : Iptables ne bloque pas les IP bannies

#4 12-09-2018 19:06:11

Re : Iptables ne bloque pas les IP bannies

#5 12-09-2018 19:09:27

Re : Iptables ne bloque pas les IP bannies

#6 12-09-2018 19:28:53

Re : Iptables ne bloque pas les IP bannies

#7 12-09-2018 19:34:48

Re : Iptables ne bloque pas les IP bannies

#8 12-09-2018 19:50:06

Re : Iptables ne bloque pas les IP bannies

#9 12-09-2018 20:48:00

Re : Iptables ne bloque pas les IP bannies

#10 14-09-2018 11:40:39

Re : Iptables ne bloque pas les IP bannies

Pied de page des forums