logo Debian Debian Debian-France Debian-Facile Debian-fr.org Forum-Debian.fr Debian ? Communautés logo inclusivité

Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#1 05-03-2009 21:26:34

stopher
Membre
Lieu : lille
Distrib. : squeeze
Noyau : 2.6.32
(G)UI : Gnome
Inscription : 03-10-2008
Site Web

netfilter limiter les abus de connexions multiple

Bonsoir ,

Je recherche actuellement le meilleurs moyen de limiter les abus du style lancer des centaines de connexions simultanés sur le port 80 par exemple , afin de ralentir sérieusement le serveur ..

Actuellement j'utilise le module mod_evasive d'apache au cas ou , car je bloque en amont via netfilter avec les règles suivantes :

iptables -I INPUT -p tcp --dport 80 -i eth0 -m state --state NEW -m recent --set
iptables -I INPUT -p tcp --dport 80 -i eth0 -m state --state NEW -m recent --update --seconds 1 --hitcount 10 -j DROP


Ce genre de règles fonctionnent tres bien , ( peut être à affiner au niveau timming et nb connexions autorisés ) , mais souffre d'un gros défaut !

Si une personne se fait bloqué ... , et bien , il sera bloqué à vie .. ( du moins j'usqu'à le serveur reboot ou que je veuille bien re-initialiser iptables )

Existe t'il donc un moyen/paquet/lib/scripts pour effectuer ce blocage que 10minutes par exemple puis de l'annuler ?

Merci d'avance ,

Ch.

Hors ligne

#2 05-03-2009 22:19:23

MaTTuX_
La Paillasse !!!
Lieu : Zoubidou-Land
Distrib. : 75 serveurs
Noyau : 3.2.0-4-amd64 <- et oui !!!
(G)UI : tty et ... pas gnome en tout cas....
Inscription : 28-05-2007

Re : netfilter limiter les abus de connexions multiple

Tu peux utiliser fail2ban ca permet de bannir les ip sur plusieur protocol http ftp ssh ....

\o/ Le closedSource c'est tabou on a viendra tous à bout \o/

Hors ligne

#3 06-03-2009 08:03:24

stopher
Membre
Lieu : lille
Distrib. : squeeze
Noyau : 2.6.32
(G)UI : Gnome
Inscription : 03-10-2008
Site Web

Re : netfilter limiter les abus de connexions multiple

Slr ,
merci de ta réponse ,

Mais je possède déjà fail2ban , l'inconvénient de celui-ci est qu'il se base uniquement sur les erreurs qu'il trouve dans les log ...

Alors imagines que le abus sont vers une page valide du serveur web , il n'y auras pas d'erreur dans les logs .. fail2ban n'agira pas :-(

Mais sinon , c'est le même principe que je souhaite ... bloquer pendant X minutes puis débloquer ...

Hors ligne

#4 06-03-2009 19:22:11

MaTTuX_
La Paillasse !!!
Lieu : Zoubidou-Land
Distrib. : 75 serveurs
Noyau : 3.2.0-4-amd64 <- et oui !!!
(G)UI : tty et ... pas gnome en tout cas....
Inscription : 28-05-2007

Re : netfilter limiter les abus de connexions multiple

euhhh la je vois pas du tout. désolé faudrai voir si tu peux modifier la politique de fail2ban

\o/ Le closedSource c'est tabou on a viendra tous à bout \o/

Hors ligne

#5 22-03-2009 15:07:52

stopher
Membre
Lieu : lille
Distrib. : squeeze
Noyau : 2.6.32
(G)UI : Gnome
Inscription : 03-10-2008
Site Web

Re : netfilter limiter les abus de connexions multiple

Re ,

Je pense avoir trouvé la / une solution , voici mon script de test de mes regles NetFilter

#!/bin/bash


# juste pour le test ! on flush toutes les règles...
iptables -F
# et supprime toutes les chaînes :
iptables -X

# A rajouter au ** DEBUT ** de vos règles iptables :
# Vérifie si l'IP est déjà présente dans la liste bomblist.
# Si c'est la cas, on la rejette, met à jour la liste et
# l'attaquant est de nouveau blacklisté pour 60mn
# (il doit se faire complètement oublier pendant 10mn) :
iptables -A INPUT -i eth0 -p tcp --dport 80 -m recent --name bomblist --update \
 --seconds 3600 -j DROP


# Création de la chaine bombchain qui rajoute l'IP
# à la liste bomblist et DROP le paquet :
iptables -N bombchain
iptables -A bombchain -j DROP -m recent --set --name bomblist



iptables -I INPUT -p tcp --dport 80 -i eth0 -m state --state NEW -m recent --set
iptables -I INPUT -p tcp --dport 80 -i eth0 -m state --state NEW -m recent --update --seconds 1 --hitcount 2 -j bombchain


Donc s'il y a 2 connexions de la même adresse ip sur le port 80 en moins d'un seconde , l'adresse ip est banni pour 1 h .

Les valeurs sont là pour les tests , il est évident , que si celà fonctionne , j'augmenterai ce chiffre ..
Je test , et je confirme si celà fonctionne ..

Ch.

Hors ligne

#6 22-03-2009 17:30:29

MaTTuX_
La Paillasse !!!
Lieu : Zoubidou-Land
Distrib. : 75 serveurs
Noyau : 3.2.0-4-amd64 <- et oui !!!
(G)UI : tty et ... pas gnome en tout cas....
Inscription : 28-05-2007

Re : netfilter limiter les abus de connexions multiple

merci pour le retour, dit moi si marche que je change mes regles tongue

\o/ Le closedSource c'est tabou on a viendra tous à bout \o/

Hors ligne

#7 22-03-2009 18:37:50

stopher
Membre
Lieu : lille
Distrib. : squeeze
Noyau : 2.6.32
(G)UI : Gnome
Inscription : 03-10-2008
Site Web

Re : netfilter limiter les abus de connexions multiple

Hi ,
Je confirme , celà fonctionne bien :-)

Peut être à peaufiner un peut .. , reste à trouver le bon réglage pour le nombre de connexions autorisées , et le délais .

Si d'autres testent ces regles , et trouvent des améliorations , n'hésitez pas à partager :-)

Ch.

Hors ligne

Pied de page des forums