Bonjour,
Quelle action as tu configuré dans fail2ban quand tu as une règle qui match?
sécurisation serveur debian 10
- Modifié
dans mon fichier /etc/fail2ban/jail.local j'ai:
mode = normal
action = %(action_mwl)
banaction = nftables-multiports
chain = inputs
- Modifié
Effectivement Buster force l'utilisation de nftables mais fail2ban pense toujours utiliser iptables du coup rien n'est bloqué. Une des solutions serait de forcer l'utilisation de iptables
https://wiki.debian.org/nftables
update-alternatives --set iptables /usr/sbin/iptables-legacy
update-alternatives --set ip6tables /usr/sbin/ip6tables-legacy
update-alternatives --set arptables /usr/sbin/arptables-legacy
update-alternatives --set ebtables /usr/sbin/ebtables-legacyJ'ai pas essayé donc pas de certitudes*
https://codepoets.co.uk/2019/fail2ban-debian-buster-10-and-iptables-vs-nftables/
- Modifié
J'ai testé de mon coté, parce qu'également intéressé sur le sujet, et j'ai appliqué ce tuto
https://wiki.meurisse.org/wiki/Fail2Ban#nftables
Ca fonctionne
laster13 Merci, j'avais bien trouvé ce tutoriel mais effectivement j'avais oublié de faire une chose. Cela fonctionne.
j'ai testé mon tel derrière un VPN et j'ai bien mes logs renseignées et l'IP banni.
Je profite de se poste pour une autre question si possible. Je n'ai pas trouvé de tuto ou d'aide concernant portsentry et nftables. Dans mon ancienne config, portsentry exécutait une commande iptables pour bannir la personne faisant un scan de mes ports. Je n'arrive cependant pas à faire ou à trouver la commande avec nftables.
voici la commande IPTABLES qu'effectuait portsentry :
/sbin/iptables -I INPUT -s 1.1.1.1 -j DROP && /sbin/iptables -I INPUT -s 1.1.1.1-m limit --limit 3/minute --limit-burst 5 -j LOG --log-level DEBUG --log-prefix 'Portsentry: dropping: '
Cependant peut être que NFTABES peut le faire de base seul?
Merci pour votre aide
Carrément intéressé par la réponse à la question ci-dessus également 
Si quelqu'un a une idée je suis toujours preneur.
- Modifié
BBO Salut, si j'ai bien compris ce que vous cherchez est expliqué ici ?
https://home.regit.org/2017/07/nftables-port-knocking/
Je ne connais pas personnellement nftables, j'utilise ufw et fail2ban encore. À tord peut être ? Je vais regarder ce que nftables fait de beau.
qo_op
Merci pour ta réponse, c'est toujours utile. Cependant je ne parlais pas du port knocking. Je chercher a bannir toutes les perconne qui font un scan des ports sur mon serveur. Avec iptables je faisais cela avec portsentry.
Si l'outil detect un host qui scan les ports, il le ban durant x minutes.
qo_op [...] j'utilise ufw et fail2ban encore. À tord peut être ?
L'un comme l'autre font un assez bon boulot. De plus, ils ont l'avantage d'être accessible ((simple, compréhensible, lisible, etc) pour des personnes ayant peu de compétence) contrairement aux autres (Ossec, psad, Suricata, etc).
Donc bien entendu la réponse est non.
15 jours plus tard
Je me permet de relancer la discussion au cas ou une personne aurait une autre piste. Pour rappelle je cherche a bannir via NFTABLES les scans de port ouvert...
Merci par avance,
BBO
- Modifié
BBO
Bonjour,
Avec un peu de recherche sur nftables:
https://www.it-connect.fr/chapitres/presentation-de-nftables/
https://wiki.nftables.org/wiki-nftables/index.php/Main_Page
etc...
Voir, te servir de la commande iptables-translate:
https://wiki.nftables.org/wiki-nftables/index.php/Moving_from_iptables_to_nftables
Tu devrais pouvoir modifier le fichier portsentry.conf en nftables compatible et du même coup comprendre un peu mieux nftables.
Par exemple, je traduirais:
KILL_ROUTE="/sbin/iptables -I INPUT -s $TARGET$ -j DROP"
Par:
KILL_ROUTE="/usr/sbin/nft add rule ip filter input ip saddr $TARGET$ drop"
Naturellement après avoir créé une table "ip filter"
Bon courage.
Edit:
(a tester):
KILL_RUN_CMD="/usr/sbin/nft add rule ip filter input ip saddr $TARGET drop && /usr/sbin/nft add rule ip filter input ip saddr $TARGET limit rate 3/minute burst 5 packets log level debug prefix \"Portsentry: dropping: \""
5 jours plus tard
merci beaucoup, je vais tester cela rapidement