Forum Linux.redhat Configuration ignore IP de fail2ban

Posté par  .
Étiquettes : aucune
0
14
sept.
2010
Bonjour,

J'ai un petit soucis pour la configuration de la partie ignoreip de fail2ban. En effet, certaines pages sur le web disent qu'il faut la configurer comme ceci :

[DEFAULT]
ignoreip = 127.0.0.1 192.168.1.0 192.168.2.0

Cela n'a pas l'air bon puisque ma machine se fait bannir

D'autres pages disent de faire comme ceci :

[DEFAULT]
ignoreip = 127.0.0.1 192.168.1.1/24 192.168.2.1/24


Malheureusement je ne comprend pas à quoi sert le "/24" ?
Quel est la bonne configuration pour être ignorer de fail2ban?

Merci
  • # Masque de sous réseau

    Posté par  . Évalué à 2.

    192.168.1.1/24 signifie que toutes les adresses 192.168.1.x seront igorées au lieu de juste 192.168.1.1

    192.168.1.0 signifie sans doute la même chose.

    Si ifconfig indique une adresse autre que 192.168.1.x ou 192.168.2.x, c'est normal que ta machine se fasse quand même bannir.

    Si ton ordinateur a une adresse x.y.z.t, il faut que tu mettes x.y.z.t ou x.y.z.t/24 ou x.y.z.0.

    Dans tous les cas, 127.0.0.1 devrait être présent.
    • [^] # Re: Masque de sous réseau

      Posté par  . Évalué à 2.

      J'ajoute une sortie exemple d'ifconfig.
      eth0 Link encap:Ethernet HWaddr 00:0F:20:CF:8B:42
      inet addr:217.149.127.10 Bcast:217.149.127.63 Mask:255.255.255.192
      UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
      RX packets:2472694671 errors:1 dropped:0 overruns:0 frame:0
      TX packets:44641779 errors:0 dropped:0 overruns:0 carrier:0
      collisions:0 txqueuelen:1000
      RX bytes:1761467179 (1679.8 Mb) TX bytes:2870928587 (2737.9 Mb)
      Interrupt:28

      Le x.y.z.t correspond à ce qui est en gras et tu auras probablement un autre bloc avec lo au lieu de eth0 et qui a pour adresse 127.0.0.1.
  • # CIDR

    Posté par  . Évalué à 5.

    C'est la notation CIDR: http://fr.wikipedia.org/wiki/Sous-r%C3%A9seau

    Une adresse IPv4 contient 32 bits. On utilise souvent un "masque de sous-réseau" pour indiquer une plage d'adresses.
    Par exemple 192.168.17.0 masque 255.255.255.0 indique que les 3 premiers octets représentent l'adresse du réseau, et donc le dernier octet est disponible pour numéroter les machines.
    On note cela plutôt 192.168.17.0/24
    24 signifiant 24 bits, tout comme 255.255.255.0 qui a les 24 premiers bits à 1.

    Donc si tu notes 192.168.0.1 cela indique une IP unique (équivalent à 192.168.0.1/32).
    Si tu notes 192.168.2.0/24 cela indique un sous-réseau (adresses de 192.168.2.0 à 192.168.2.255)

    Par contre 192.168.2.1/24 ne veut rien dire, même si on en comprends la signification. Le dernier bit est à 1 mais le masque indique qu'on n'en tient pas compte. Il est plus propre d'écrire 192.168.2.0
    • [^] # fail2ban

      Posté par  . Évalué à 1.

      Merci de me rappeler les masque de sous réseau et les CDIR. Cela fait toujours du bien mais le soucis est dans fail2ban.

      Il voit la machine qui se connecte avec sont hostname et non pas son adresse IP
      exemple de la commande iptables -L :

      Chain fail2ban-ssh (1 references)
      num target prot opt source destination
      1 DROP all -- lsdbot.hostname.org anywhere
      2 RETURN all -- anywhere anywhere


      C'est peut être pour cela que ma règle d’exception n'est pas appliquée.
      • [^] # man iptables

        Posté par  (site web personnel) . Évalué à 1.

        cf: avoid long reverse DNS lookups

        Système - Réseau - Sécurité Open Source

      • [^] # Re: fail2ban

        Posté par  . Évalué à 3.

        Merci de me rappeler les masque de sous réseau et les CDIR. Cela fait toujours du bien mais le soucis est dans fail2ban.

        Ah ? Pourtant tu indiques: Malheureusement je ne comprend pas à quoi sert le "/24"
        Ca n'a rien à voir avec un problème de fail2ban de ne pas savoir à quoi sert "/24".

        Maintenant, si tu veux savoir si fail2ban gère la notation CIDR des adresses à ne pas bannir, c'est sur le site officiel: http://www.fail2ban.org/wiki/index.php/Whitelist


        [DEFAULT]
        # "ignoreip" can be an IP address, a CIDR mask or a DNS host. Fail2ban will not
        # ban a host which matches an address in this list. Several addresses can be
        # defined using space separator.

        ignoreip = 127.0.0.1 192.168.1.0/24 8.8.8.8

        Si tu connais la notation CIDR, c'est hyper clair (il faut savoir lire l'anglais, certes).


        Et c'est même dans le fichier de configuration livré avec fail2ban !!

        # "ignoreip" can be an IP address, a CIDR mask or a DNS host
        ignoreip = 127.0.0.1
      • [^] # Re: fail2ban

        Posté par  . Évalué à 2.

        par défaut, iptables effectue une requête DNS pour montrer l'adresse/nom de l'expéditeur
        =>
        iptables -n -L
        !
        -n force le mode numérique (en fait, n'effectue de recherche DNS)...
        ?
    • [^] # Re: CIDR

      Posté par  (site web personnel) . Évalué à 3.

      Par contre 192.168.2.1/24 ne veut rien dire, même si on en comprends la signification. Le dernier bit est à 1 mais le masque indique qu'on n'en tient pas compte. Il est plus propre d'écrire 192.168.2.0

      Oui et non.

      Pour un /24, je suis assez d'accord avec toi (c'est plus "propre" d'écrire ".0"). Mais pour un /25 (et les valeurs supérieures), le dernier chiffre de l'adresse IP est primordial.

      Example : un /25 sur un réseau en 192.168.0.xx
      Ici, il y a donc 2 sous-réseaux :
      - 192.168.0.0/25
      + Plage d'adresses IP: 192.168.0.1 à 192.168.0.126
      + Adresse de broadcast : 192.168.0.127
      + Masque de sous réseau : 255.255.255.128

      - 192.168.0.128/25
      + Plage d'adresses IP: 192.168.0.129 à 192.168.0.254
      + Adresse de broadcast : 192.168.0.255
      + Masque de sous réseau : 255.255.255.128

      Evidement, on peut reproduire ce mécanisme avec un /26, /27, etc..., mais aussi avec des /23, /22, /21, etc...

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.