Forum Linux.redhat Configuration ignore IP de fail2ban

• # Masque de sous réseau

  Posté par Phil Actaire le 14 septembre 2010 à 12:03. Évalué à 2.

  

  192.168.1.1/24 signifie que toutes les adresses 192.168.1.x seront igorées au lieu de juste 192.168.1.1
  
  192.168.1.0 signifie sans doute la même chose.
  
  Si ifconfig indique une adresse autre que 192.168.1.x ou 192.168.2.x, c'est normal que ta machine se fasse quand même bannir.
  
  Si ton ordinateur a une adresse x.y.z.t, il faut que tu mettes x.y.z.t ou x.y.z.t/24 ou x.y.z.0.
  
  Dans tous les cas, 127.0.0.1 devrait être présent.

  • [^] # Re: Masque de sous réseau

    Posté par Phil Actaire le 14 septembre 2010 à 12:06. Évalué à 2.

    

    J'ajoute une sortie exemple d'ifconfig.
    eth0 Link encap:Ethernet HWaddr 00:0F:20:CF:8B:42
inet addr:217.149.127.10 Bcast:217.149.127.63 Mask:255.255.255.192
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:2472694671 errors:1 dropped:0 overruns:0 frame:0
TX packets:44641779 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:1761467179 (1679.8 Mb) TX bytes:2870928587 (2737.9 Mb)
Interrupt:28
    Le x.y.z.t correspond à ce qui est en gras et tu auras probablement un autre bloc avec lo au lieu de eth0 et qui a pour adresse 127.0.0.1.

• # CIDR

  Posté par Kerro le 14 septembre 2010 à 12:07. Évalué à 5.

  

  C'est la notation CIDR: http://fr.wikipedia.org/wiki/Sous-r%C3%A9seau
  
  Une adresse IPv4 contient 32 bits. On utilise souvent un "masque de sous-réseau" pour indiquer une plage d'adresses.
  Par exemple 192.168.17.0 masque 255.255.255.0 indique que les 3 premiers octets représentent l'adresse du réseau, et donc le dernier octet est disponible pour numéroter les machines.
  On note cela plutôt 192.168.17.0/24
  24 signifiant 24 bits, tout comme 255.255.255.0 qui a les 24 premiers bits à 1.
  
  Donc si tu notes 192.168.0.1 cela indique une IP unique (équivalent à 192.168.0.1/32).
  Si tu notes 192.168.2.0/24 cela indique un sous-réseau (adresses de 192.168.2.0 à 192.168.2.255)
  
  Par contre 192.168.2.1/24 ne veut rien dire, même si on en comprends la signification. Le dernier bit est à 1 mais le masque indique qu'on n'en tient pas compte. Il est plus propre d'écrire 192.168.2.0

  • [^] # fail2ban

    Posté par dubis le 14 septembre 2010 à 12:56. Évalué à 1.

    

    Merci de me rappeler les masque de sous réseau et les CDIR. Cela fait toujours du bien mais le soucis est dans fail2ban.
    
    Il voit la machine qui se connecte avec sont hostname et non pas son adresse IP
    exemple de la commande iptables -L :
    
Chain fail2ban-ssh (1 references)
num target prot opt source destination
1 DROP all -- lsdbot.hostname.org anywhere
2 RETURN all -- anywhere anywhere

    
    C'est peut être pour cela que ma règle d’exception n'est pas appliquée.

    • [^] # man iptables

      Posté par nono14 (site web personnel) le 14 septembre 2010 à 13:43. Évalué à 1.

      

      cf: avoid long reverse DNS lookups

      Système - Réseau - Sécurité Open Source - Ouvert à de nouvelles opportunités

    • [^] # Re: fail2ban

      Posté par Kerro le 14 septembre 2010 à 18:58. Évalué à 3.

      

      Merci de me rappeler les masque de sous réseau et les CDIR. Cela fait toujours du bien mais le soucis est dans fail2ban.
      
      Ah ? Pourtant tu indiques: Malheureusement je ne comprend pas à quoi sert le "/24"
      Ca n'a rien à voir avec un problème de fail2ban de ne pas savoir à quoi sert "/24".
      
      Maintenant, si tu veux savoir si fail2ban gère la notation CIDR des adresses à ne pas bannir, c'est sur le site officiel: http://www.fail2ban.org/wiki/index.php/Whitelist
      
      
      [DEFAULT]
      # "ignoreip" can be an IP address, a CIDR mask or a DNS host. Fail2ban will not
      # ban a host which matches an address in this list. Several addresses can be
      # defined using space separator.
      
      ignoreip = 127.0.0.1 192.168.1.0/24 8.8.8.8
      
      Si tu connais la notation CIDR, c'est hyper clair (il faut savoir lire l'anglais, certes).
      
      
      Et c'est même dans le fichier de configuration livré avec fail2ban !!
      
      # "ignoreip" can be an IP address, a CIDR mask or a DNS host
      ignoreip = 127.0.0.1
      

    • [^] # Re: fail2ban

      Posté par NBaH le 14 septembre 2010 à 23:21. Évalué à 2.

      

      par défaut, iptables effectue une requête DNS pour montrer l'adresse/nom de l'expéditeur
      =>
      iptables -n -L
      !
      où -n force le mode numérique (en fait, n'effectue de recherche DNS)...
      ?

  • [^] # Re: CIDR

    Posté par Olivier (site web personnel) le 14 septembre 2010 à 13:56. Évalué à 3.

    

    Par contre 192.168.2.1/24 ne veut rien dire, même si on en comprends la signification. Le dernier bit est à 1 mais le masque indique qu'on n'en tient pas compte. Il est plus propre d'écrire 192.168.2.0
    
    Oui et non.
    
    Pour un /24, je suis assez d'accord avec toi (c'est plus "propre" d'écrire ".0"). Mais pour un /25 (et les valeurs supérieures), le dernier chiffre de l'adresse IP est primordial.
    
    Example : un /25 sur un réseau en 192.168.0.xx
    Ici, il y a donc 2 sous-réseaux :
    - 192.168.0.0/25
    + Plage d'adresses IP: 192.168.0.1 à 192.168.0.126
    + Adresse de broadcast : 192.168.0.127
    + Masque de sous réseau : 255.255.255.128
    
    - 192.168.0.128/25
    + Plage d'adresses IP: 192.168.0.129 à 192.168.0.254
    + Adresse de broadcast : 192.168.0.255
    + Masque de sous réseau : 255.255.255.128
    
    Evidement, on peut reproduire ce mécanisme avec un /26, /27, etc..., mais aussi avec des /23, /22, /21, etc...

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.