merci pour cet article intéressant, fonctionnel et très bien expliqué.
petite question : est-il possible de d'ouvrir un port ipv6 avec cette technique ?
par ex : serveur web accessible en ipv6 avec l'ipv6 de tunnelbroker ?
merci
Hello,
Fail2ban est indispensable, oui, mille fois oui. Je ne comprends pas pourquoi par contre il y en a qui s'obstinent à ne parler que de SSH avec Fail2ban. Oui, il existe des filtres SSH avec f2b, mais ce n'est qu'une goutte d'eau dans l'océan. Et j'ai presque envie de dire qu'avec une configuration de sshd réellement propre (auth RSA avec limitation @host, plus règle FW), Fail2ban n'est même pas utile.
Fail2ban, c'est avant tout la garantie de pouvoir générer des règles à partir de puissantes regex pour n'importe quelle log, et c'est génial.
Me concernant, une de mes fonction est gérer un ERP vieillissant, en PHP, je n'ai pas les ressources pour le mettre à niveau, je corrige tout ce que je trouve (sqli, xss, etc..), je passe un maximum de chose de _mysql à PDO filtré, mais ça ne suffit pas, il peut y avoir des oublis. Fail2ban me rend ici un service immense en filtrant mes logs nginx et dès qu'une tentative d'injection SQL est détectée (du moins les plus courantes), boom, c'est le ban.
Idem pour toutes les requêtes un peu trop chelou, les appels à des pages/scripts inexistants.
Rien que pour que ce type d'utilisation, fail2ban fait un boulot extra. Je l'ai couplé avec plein d'outils. Alors évidemment, avant de mettre fail2ban, il faut avoir une configuration propre de base, bien maîtriser l'ensemble et la portée des paramètres utilisés, faire du hardening, mettre en place des règles FW propre, puis, seulement, rajouter la couche Fail2ban.
Fail2ban ne doit en revanche jamais être considéré comme un pansement pour ceux qui ne veulent pas se casser la tête à faire du hardenning.
J'utilise Fail2ban + pfsense...
J'héberge un serveur asterisk "ouvert" sur le port 5060 car je dois pouvoir m'y connecter à distance en VoIP via mon smartphone(le nombre de tentatives d'intrusions est phénoménal).
L'usage d'un VPN pour les nomades VoIP n'est pas adapté (décrochages lors de mauvaises conditions de réception, temps de connexion, etc) aussi j'utilise Fail2ban sur mon asterisk en association avec pfblockerNG sur mon pfsense.
En effet, je récupère chaque heure les IP bannies sur mon asterisk que j'injecte dans pfblockerNG ainsi je déporte le blocage sur le pfsense en amont du serveur asterisk (avec drop des paquets).
Cette configuration a l'avantage de pouvoir paramétrer Fail2ban avec des recherches de log sur de courtes durées limitant ainsi l'usage CPU, et de laisser le travail de blocage au pfsense dont c'est le rôle.
pfblockerNG permet de bloquer les IP par pays et/ou par listes noires, et l'association avec Fail2ban permet de filtrer unitairement les IP qui tentent d'entrer.
Avec cette méthode, je n'ai jamais eu aucune intrusion depuis des années d'usage.
Bonjour Guillaume
Merci pour tes précieux conseils et la doc en français que vous produisez pour la mettre à disposition de tous ! Il est temps de rentrer dans le vif du sujet ... Je regarde de ce côté et je ferais un retour.
Cordialement
Steeve
@INFOLOGEEK :
Bonjour Steeve,
Pour mettre en œuvre de la priorisation de trafic dans un environnement multi-LAN, la configuration est différente que celle présentée dans cet article.
Si l'on souhaite pouvoir "partager" (option borrow) la bande-passante entre différentes files d'attente (queue) il est nécessaire qu'elles partagent la même file parente.
Aussi, la solution est de tout configurer sur l'interface WAN : aussi bien pour le download que pour l'upload.
Pour cela, il faut marquer les paquets en provenance de chaque réseaux locaux en complétant le champ "Tag" (dans les options avancés de vos règles de filtrage), puis de modifier vos règles de floating pour appliquer vos règles de priorisation en fonction de la valeur du champ "Tagged".
La lecture de l'article NAT / filtrage - Comprendre l'ordre des traitements appliqués par pfSense vous permettra de mieux comprendre pourquoi et comment il faut marquer les paquets.
Cordialement,
Guillaume
--
Provya
Bonjour,
Je veux faire la Qos sur 2 interfaces Lan et 1 interface Wan.
J'ai 200M Fibre Symétrique Garantie.
Je voudrais attribuer:
- qMyCompany prioritaire sur le Lan1: 10M minimum Download/120M Upload qui peut faire du "borrow" sur l'autre queue de l'autre interface ??.
- qAP sur le Lan2: 170M Download/60M Upload
- qAck: 10% de la bande passante total = 20M Download/Upload
Donc j'ai fais comme ceci sur l'onglet By Interface:
WanFibre (Upload)
Enable/Disable: Coché
Scheduler Type: CBQ
Bandwidth: 200M
"Add new Queue"
Enable/Disable: Coché
Queue Name: qMyCompany
Priority: 7
Bandwidth: 120M
Enable/Disable: Coché
Queue Name: qAP
Priority: 2
Bandwidth: 60M
"Add new Queue"
Enable/Disable: Coché
Queue Name: qACK
Priority: 6
Bandwidth: 20M
LAN1 (Download)
Enable/Disable: Coché
Scheduler Type: CBQ
Bandwidth: 200M
"Add new Queue"
Enable/Disable: Coché
Queue Name: qMyCompany
Priority: 7
Bandwidth: 10M
Scheduler option: Coché ( Je ne peux pas faire du borrow sur le LAN2 car partage pas la même RootQueue )
Enable/Disable: Coché
Queue Name: qACK
Priority: 6
Bandwidth: 20M
LAN2 (Download)
Enable/Disable: Coché
Scheduler Type: CBQ
Bandwidth: 200M
"Add new Queue"
Enable/Disable: Coché
Queue Name: qAP
Priority: 2
Bandwidth: 170M
Enable/Disable: Coché
Queue Name: qACK
Priority: 6
Bandwidth: 20M
En fait ce n'est pas très clair !! Pouvez me donner un avis.Ou des liens vers une doc détaillée.
Bien cordialement
Steeve
Good
Good
@Plou44 :
Bonjour,
Pour la configuration de votre phase 1, avez-vous bien activé le paramètre DPD ?
Pour la configuration de votre phase 2, avez-vous bien indiqué une adresse IP répondant au ping dans le champ prévu à cet effet ?
Cordialement,
Guillaume
--
Provya
Bonjour,
Nous avons un tunnel IPSEC entre nos 2 usines.
A priori le paramétrage est correct mais de temps en temps, il n'y a plus de trafic. Le tunnel apparaît comme établi pourtant. il faut déconnecter puis reconnecter pour que le trafic reprenne. Il n'y aurait pas un paramètre de compteur de vie? Pour un forçage de reconnexion.
Cordialement
JL