We are in the process of migrating this forum. A new space will be available soon. We are sorry for the inconvenience.

iptables-persistent


danyel
16/06/2016, 21h04
Citation Envoyé par nowwhat
Je ne reboot quasiment jamais
Pareil, mais un bon petit reboot volontaire de temps en temps, ca fait pas de mal

nowwhat
16/06/2016, 20h21
Citation Envoyé par danyel
.....
Ca fonctionnait plutot pas mal lors de mes tests et essais, mais ca rajoute, pour chaques et tous les jails, la liste complete des ip bans sauvegardes ... soit qq chose de tres tres tres tres long ... (c'est ca mon bordel lol)
Quand tu travaille avec iptables-persistant, fail2ban ne va pas purger ces règles ajouté en dehors de son contrôle, pour toi.
Or, la base de fail2ban va entre autre mémoriser le temps restent, l'origine du ban, etc.
Quand à la restauration après reboot, fail2ban va de-ban automatiquement les règles ajouté avant le reboot suivant le time out enregistré..


Citation Envoyé par danyel
.....
Tu utilises la version avec db ?
En ce moment le vieux bon stable.
J'ai contourne la question.
Je ne reboot quasiment jamais

danyel
16/06/2016, 18h19
Merci pour le feedback.
Actuellement, j'ai la v0.8.3-1 et effectivement, la 0.9.4 est affiche stable maintenant (bien que debian le signale encore unstable).
Je vais faire qq tests de cette mouture et voir si ca corresponds bien a mes attentes.
Merci a tous.

janus57
16/06/2016, 08h24
Bonjour,

pour le package "iptables-persistant" à mon sens c'est trop fastidieux à mettre en place pour ce que vous recherchez car c'est au moment de l'installe de ce package qu'il sauvegardes les règles IPTables, donc il faudrait re-générer la config iptables avec "iptables-persistant" de manière régulière pour faire ce que vous souhaitez et je ne suis pas sûr que "fail2ban" va aimer que ces règles de jails soit déjà en place.

Ensuite d'après ce que j'ai compris fail2ban 0.9.1 à 0.9.4 sont stable et intègre ce que vous souhaitez (note dans la prochaine version de Debian ce sera fail2ban 0.9.3).

Perso "iptables-persistant" me sert à remonter les règles iptables pour un serveur openVPN.

Cordialement, janus57

danyel
15/06/2016, 23h04
Bonsoir nowwhat,

Je me souviens qu'on avait deja parle de la version avec bdd de f2b, mais j'y etais pas passe car elle n'etait encore a l'epoque qu'en alpha ...
La j'ai utilise un patch assez connu et utilise, qui garde la liste des ip bannies et la remet en cas de reboot.
Ca fonctionnait plutot pas mal lors de mes tests et essais, mais ca rajoute, pour chaques et tous les jails, la liste complete des ip bans sauvegardes ... soit qq chose de tres tres tres tres long ... (c'est ca mon bordel lol)

Tu utilises la version avec db ?
Car la question que je me pose, c'est que le probleme peut-etre le meme si il n'y a juste que les ips qui sont sauvegardes et pas l'origine du ban (justement pour eviter de dupliquer toutes les ips sur tous les jails)

Sinon, je suis tjrs preneur pour vos infos et feedback sur iptables-persistant

nowwhat
15/06/2016, 22h41
'Soir,

Pourquoi le bordel ?
Si fail2ban garde en mémoire la liste des bans (par exemple : dans une table d'un base des données) , pour le reconstruire après reboot - t'auras la même chose après le reboot. Normal, non ?
Une future version de fail2ban va inclure cette possibilité :
http://serverfault.com/questions/596...actually-works
serverfault.com/questions/596794/how-does-fail2ban-0-9-database-storage-actually-works à partir de la version 0.9.1

danyel
15/06/2016, 18h52
Salut all,

Qq aurait-il des infos et retours sur ce paquet (iptables-persistent) sous jessie ?

Actuellement j'utilise l'astuce dans iptables-multiport.conf de fail2ban pour retablir les bannis apres un reboot, mais je viens de voir que c'est un peu le gros bordel apres un reboot, car ca ajoute tous les memes bans pour TOUS LES JAILS ... je vous dis pas la liste qui prends plusieurs minutes, juste pour s'afficher.

En cherchat un peu, j'ai donc trouve ce iptables-persistent, et parait conforme a mes desirs.
Mais avant, et si vous utilisez (ou avait utilise) merci de m'en parler.