XIII2009
14/03/2015, 15h39
Je viens d'effectuer quelques tests ainsi que de vérifier avec fail2ban-regex... cela à bien l'air de fonctionner avec cette modification.
Merci
Merci
Posfix tentative intrusion ipv6
XIII2009
14/03/2015, 08h05
Envoyé par AnonymousCoward
je viens de prendre le temps de regarder la configuration de fail2ban...
J'ai bien un failregex pour postfix
Code:
failregex = ^%(__prefix_line)sNOQUEUE: reject: RCPT from \S+\[\]: 554 5\.7\.1 .*$
Code:
failregex = ^%(__prefix_line)sNOQUEUE: reject: RCPT from \S+\[(?:::f{4,6}:)?(?P[\w\-.^_]+)\]: 554 5\.7\.1 .*$
a+
AnonymousCoward
11/03/2015, 21h47
Et tu as un filtre prévu pour analyser ce log ?
Tu l'as testé à l'aide de fail2ban-regex ?
Normalement, fail2ban a l'entité à utiliser dans une regex pour détecter une IPv4 y compris en notation IPv6.
--
AnonymousCoward
Tu l'as testé à l'aide de fail2ban-regex ?
Normalement, fail2ban a l'entité
--
AnonymousCoward
XIII2009
11/03/2015, 19h54
Bonsoir,
Dans ce cas pourquoi l'ip n'est pas en ipv4 comme les autres et pourquoi le système me la traduit en pseudo ipv6.
Comment puis-je corriger ce paramètre ?
a+
- - - Updated - - -
Envoyé par sich
Il faudra effectivement que je m'y penche et que je refasse toutes les règles associés...
Mais par contre si j'ai une mise à jour de fail2ban par le système, je suppose que je dois réappliquer le patch... ou alors ça n'est pas le cas (et je n'ai pas tout compris )
Dans ce cas pourquoi l'ip n'est pas en ipv4 comme les autres et pourquoi le système me la traduit en pseudo ipv6.
Comment puis-je corriger ce paramètre ?
a+
- - - Updated - - -
Envoyé par sich
Mais par contre si j'ai une mise à jour de fail2ban par le système, je suppose que je dois réappliquer le patch... ou alors ça n'est pas le cas (et je n'ai pas tout compris )
sich
11/03/2015, 19h27
Mais le patch pour fail2ban fonctionne très bien, applique le et dort tranquillement
AnonymousCoward
11/03/2015, 19h25
Bonjour,
C'est parce-que ce n'est pas réellement une IPv6. En fait, ::ffff:61.40.192.53 est la notation pour l'IP v4 61.40.192.53 .
--
AnonymousCoward
C'est parce-que ce n'est pas réellement une IPv6. En fait, ::ffff:61.40.192.53 est la notation pour l'IP v4 61.40.192.53 .
--
AnonymousCoward
XIII2009
11/03/2015, 18h40
Bonjour à tous,
Cela fait quelques temps que je constate de nombreuses tentative d'intrusion sur mon serveur postfix avec des adresses ipv6.
Petit exemple des lignes présentes dans mon fichier logs parmis bcp d'autres.
Sachant que Fail2ban ne fonctionne actuellement pas sur l'ipv6 (sauf en lui appliquant un patch), je pensais qu'en desactivant l'ipv6 dans postfix
ainsi que de ne laisser dans ip6tables que les ports suivant ouverts : ipv6-icmp, 443, 80, 8443 et 53 cela résoudrais le problème.
Mais ça n'a rien changé..., j'ai tjs bcp de ligne comme ci-dessus...
J'ai du loupé quelque chose mais je reconnais que je vois pas quoi et où...
Avez-vous une idée de ce que je peux faire pour éviter cela ?
Savez-vous ce que j'ai oublié ?
Merci d'avance
a+
Cela fait quelques temps que je constate de nombreuses tentative d'intrusion sur mon serveur postfix avec des adresses ipv6.
Petit exemple des lignes présentes dans mon fichier logs parmis bcp d'autres.
Code:
LOGIN FAILED, user=admins, ip=[::ffff:61.40.192.53]: 2 Time(s)
LOGIN FAILED, user=agent, ip=[::ffff:61.40.192.53]: 1 Time(s)
LOGIN FAILED, user=alan, ip=[::ffff:61.40.192.53]: 1 Time(s)
LOGIN FAILED, user=alex, ip=[::ffff:61.40.192.53]: 1 Time(s)
LOGIN FAILED, user=alias, ip=[::ffff:61.40.192.53]: 1 Time(s)
LOGIN FAILED, user=amanda, ip=[::ffff:61.40.192.53]: 1 Time(s)
LOGIN FAILED, user=amavisd, ip=[::ffff:61.40.192.53]: 1 Time(s)
Code:
inet_protocols = ipv4
Mais ça n'a rien changé..., j'ai tjs bcp de ligne comme ci-dessus...
J'ai du loupé quelque chose mais je reconnais que je vois pas quoi et où...
Avez-vous une idée de ce que je peux faire pour éviter cela ?
Savez-vous ce que j'ai oublié ?
Merci d'avance
a+