Tentatives d'intrusion ?!

Forum dédié à l'accès à DomoticZ depuis l'extérieur de chez vous : routage de ports, VPN, VPS ...
La sécurité, c'est important !!
Dr No
Messages : 130
Inscription : 22 janv. 2015, 17:02
Localisation : Sud de France (Hérault)

Re: Tentatives d'intrusion ?!

Message par Dr No »

Wolfen38 a écrit : 13 avr. 2026, 09:33 Salut, tu es parvenu à supprimer ces messages d'intrusion ?
Perso je ne suis jamais arrivé à installer correctement fail2ban...
Eh bien non !!!
Le wiki de domoticz.com sur Fail2Ban est un peu succint pour moi.
le ban d'une IP en ligne commande est très provisoire et disparait très vite

Je voudrais créer une blacklist permanente pour certaines IP et pour une plage d'adresse complète du genre 66.132.*.* est ce que fail2ban sait faire ce genre de chose ?
lost
Messages : 1511
Inscription : 12 nov. 2016, 11:01

Re: Tentatives d'intrusion ?!

Message par lost »

Fail2ban est un système dynamique... et il ne va pas conserver des bans qui varient sans cesse: inutile et consommateur de ressources.
Des listes de préfixe par pays et de tels systèmes existent mais c'est dautres outils. Mais in fine des rebonds locaux passeront au travers.
sylvainsjc
Messages : 94
Inscription : 22 févr. 2015, 14:35

Re: Tentatives d'intrusion ?!

Message par sylvainsjc »

Salut,
Perso j'ai utilisé Gemini pour configurer et peaufiner fail2ban pour mon domoticz
Mon souhait était de blacklister directement tout le sous-réseau /24 d'une adresse IP intrusive
Par exemple :
2026-04-05 12:26:58.999 Error: Error parsing http request address: ::ffff:66.132.195.109
entraîne le bannissement de 66.132.195.* pendant 10 jours
Si il y a récidive, alors le bannissement est multiplié par 2
Ca fonctionne très bien

Pour exemple mon jail.local :

Code : Tout sélectionner

[DEFAULT]
allowipv6 = auto
backend = systemd
ignoreip = 127.0.0.1/8 ::1 192.168.1.0/24
# Bantime progressif global
bantime.increment = true
bantime.factor = 2
bantime.maxtime = 60d
bantime.rndtime = 1d
# --------------------------------------------------------
[sshd]
enabled = true
maxretry = 3
findtime = 600
bantime = 7d
# --------------------------------------------------------
# --------------------------------------------------------
[domoticz-parseerror]
enabled = true
filter = domoticz-parseerror
logpath = /home/pi/temp/domoticz.log
maxretry = 1
findtime = 86400
# Très agressif
bantime = 10d
action = iptables-ban-subnet[name=domoticz-parseerror, port="80,443,8080"]
backend = auto
# --------------------------------------------------------

Code : Tout sélectionner

cat iptables-ban-subnet.local
[Definition]
actionstart = /sbin/iptables -N fail2ban-<name>
              /sbin/iptables -A fail2ban-<name> -j RETURN
              /sbin/iptables -I <chain> -p <protocol> $([ ! "<port>" = "<known/tcp/ports>" ] && printf -- "-m multiport --dports <port>") -j fail2ban-<name>

actionstop = /sbin/iptables -D <chain> -p <protocol> $([ ! "<port>" = "<known/tcp/ports>" ] && printf -- "-m multiport --dports <port>") -j fail2ban-<name>
             /sbin/iptables -F fail2ban-<name>
             /sbin/iptables -X fail2ban-<name>

actioncheck = /sbin/iptables -n -L <chain> | grep -q 'fail2ban-<name>'

# Action de bannissement : au lieu de bannir l'IP, nous prenons le /24
# L'IP est passée dans <ip>, nous la convertissons en réseau /24
actionban = ip_address="<ip>"
            subnet=$(echo "$ip_address" | sed 's/\.[0-9]\+$/.0\/24/')
            /sbin/iptables -I fail2ban-<name> 1 -s "$subnet" -j <blocktype>

actionunban = ip_address="<ip>"
              subnet=$(echo "$ip_address" | sed 's/\.[0-9]\+$/.0\/24/')
              /sbin/iptables -D fail2ban-<name> -s "$subnet" -j <blocktype>

[Init]
name = default
chain = INPUT
port = ssh
protocol = tcp
blocktype = REJECT --reject-with icmp-port-unreachable
# blocktype = DROP
Dr No
Messages : 130
Inscription : 22 janv. 2015, 17:02
Localisation : Sud de France (Hérault)

Re: Tentatives d'intrusion ?!

Message par Dr No »

Pardon sylvainsjc mais je suis une bille complète en réseau ;) :D

Je suppose que les 2 blocs de code vont à la suite l'un de l'autre dans le jail.local
Serait-il possible d'avoir la même chose avec un exemple concret, j'ai peur de faire de grosses bétises car je suppose qu'entre les <> il faut mettre les paramètres qui vont bien. :oops:

Merci par avance
Wolfen38
Messages : 1983
Inscription : 19 oct. 2017, 14:49

Re: Tentatives d'intrusion ?!

Message par Wolfen38 »

sylvainsjc a écrit : 16 avr. 2026, 08:36
2026-04-05 12:26:58.999 Error: Error parsing http request address: ::ffff:66.132.195.109
Et on ne peut pas bloquer toutes les ip qui apparaissent apres 'Error parsing http request address' ?
Tout en conservant ton principer de bloquer toutes les ip de sous reseau ?
Répondre