Securisé DMZ

> Salut,
> Il faut regarder du coté de pf :
> http://johan.fredin.info/openbsd/block_ssh_bruteforce.html
> Le principe est de limiter le nombre de connexion, ici 3 en 30
> secondes. Et après paf pf.
>
> Julien
>
> Le Mon, 16 Mar 2009 22:03:03 +0100,
> mamisoa ramambasoa <mramambasoa@...> a écrit :
>
> > bonjour à tous
> > j'ai un probleme depuis quelques jours sur la tentative de
> > connexion sur le port 22 de plusieurs adresses IP.
> > Je voudrais bloquer toute tentative  de connexion qui échoue (5
> > connexions ratées).
> > Si vous avez une piste je suis preneur.
> > Merci
>
>
> --
> Julien Cabillot - SdV Plurimedia
>
> ________________________________
> French OpenBSD mailing list
> misc@...
> http://www.openbsd-france.org/ml
>

> Je dirais même
> <http://home.nuug.no/~peter/pf/en/long-firewall.html#BRUTEFORCE>.
>
> Et le début du Chapitre 6 de "The book of PF" (dont la traduction
> française est presque terminée...).
>
> Cordialement,
> Maxime
>
>
> On Mon, 16 Mar 2009 22:06:20 +0100
> Julien Cabillot <julien@...> wrote:
>
>  
>> Salut,
>> Il faut regarder du coté de pf :
>> http://johan.fredin.info/openbsd/block_ssh_bruteforce.html
>> Le principe est de limiter le nombre de connexion, ici 3 en 30
>> secondes. Et après paf pf.
>>
>> Julien
>>
>> Le Mon, 16 Mar 2009 22:03:03 +0100,
>> mamisoa ramambasoa <mramambasoa@...> a écrit :
>>
>>    
>>> bonjour à tous
>>> j'ai un probleme depuis quelques jours sur la tentative de
>>> connexion sur le port 22 de plusieurs adresses IP.
>>> Je voudrais bloquer toute tentative  de connexion qui échoue (5
>>> connexions ratées).
>>> Si vous avez une piste je suis preneur.
>>> Merci
>>>      
>> --
>> Julien Cabillot - SdV Plurimedia
>>
>> ________________________________
>> French OpenBSD mailing list
>> misc@...
>> http://www.openbsd-france.org/ml
>>
>>    
>
>
>  

> Bonsoir,
>
> Il est possible de mettre en place du Port Knocking avec des WhiteList. Le
> livre "Book of PF" est vraiment super. A acheter
> Cordialement
>
>
>
> Maxime DERCHE wrote:
>
>> Je dirais même
>> <http://home.nuug.no/~peter/pf/en/long-firewall.html#BRUTEFORCE<http://home.nuug.no/%7Epeter/pf/en/long-firewall.html#BRUTEFORCE>
>> >.
>>
>> Et le début du Chapitre 6 de "The book of PF" (dont la traduction
>> française est presque terminée...).
>>
>> Cordialement,
>> Maxime
>>
>>
>> On Mon, 16 Mar 2009 22:06:20 +0100
>> Julien Cabillot <julien@...> wrote:
>>
>>
>>
>>> Salut,
>>> Il faut regarder du coté de pf :
>>> http://johan.fredin.info/openbsd/block_ssh_bruteforce.html
>>> Le principe est de limiter le nombre de connexion, ici 3 en 30
>>> secondes. Et après paf pf.
>>>
>>> Julien
>>>
>>> Le Mon, 16 Mar 2009 22:03:03 +0100,
>>> mamisoa ramambasoa <mramambasoa@...> a écrit :
>>>
>>>
>>>
>>>> bonjour à tous
>>>> j'ai un probleme depuis quelques jours sur la tentative de
>>>> connexion sur le port 22 de plusieurs adresses IP.
>>>> Je voudrais bloquer toute tentative  de connexion qui échoue (5
>>>> connexions ratées).
>>>> Si vous avez une piste je suis preneur.
>>>> Merci
>>>>
>>>>
>>> --
>>> Julien Cabillot - SdV Plurimedia
>>>
>>> ________________________________
>>> French OpenBSD mailing list
>>> misc@...
>>> http://www.openbsd-france.org/ml
>>>
>>>
>>>
>>
>>
>>
>>
>
>
> ________________________________
> French OpenBSD mailing list
> misc@...
> http://www.openbsd-france.org/ml
>
>

> bonsoir à tous
> merci encore pour tous les posts.
> Pour le moment j'ai essai la methode suivante:
>
> table <bruteforce> persist
>
> block quick from <bruteforce>
>
> # special rule for ssh
> pass in on $ext_if proto tcp from any to ($ext_if) port ssh \
>        flags S/SA keep state \
>        (max-src-conn-rate 3/30, overload <ssh-bruteforce> flush global)
>
> Pour le moment je ne sais pas encore l'effic
>
>
>
> 2009/3/16 zhack (fouine42) <fouine42@...>
>
> > Bonsoir,
> >
> > Il est possible de mettre en place du Port Knocking avec des WhiteList.
> Le
> > livre "Book of PF" est vraiment super. A acheter
> > Cordialement
> >
> >
> >
> > Maxime DERCHE wrote:
> >
> >> Je dirais même
> >> <http://home.nuug.no/~peter/pf/en/long-firewall.html#BRUTEFORCE<http://home.nuug.no/%7Epeter/pf/en/long-firewall.html#BRUTEFORCE>
> <http://home.nuug.no/%7Epeter/pf/en/long-firewall.html#BRUTEFORCE>
> >> >.
> >>
> >> Et le début du Chapitre 6 de "The book of PF" (dont la traduction
> >> française est presque terminée...).
> >>
> >> Cordialement,
> >> Maxime
> >>
> >>
> >> On Mon, 16 Mar 2009 22:06:20 +0100
> >> Julien Cabillot <julien@...> wrote:
> >>
> >>
> >>
> >>> Salut,
> >>> Il faut regarder du coté de pf :
> >>> http://johan.fredin.info/openbsd/block_ssh_bruteforce.html
> >>> Le principe est de limiter le nombre de connexion, ici 3 en 30
> >>> secondes. Et après paf pf.
> >>>
> >>> Julien
> >>>
> >>> Le Mon, 16 Mar 2009 22:03:03 +0100,
> >>> mamisoa ramambasoa <mramambasoa@...> a écrit :
> >>>
> >>>
> >>>
> >>>> bonjour à tous
> >>>> j'ai un probleme depuis quelques jours sur la tentative de
> >>>> connexion sur le port 22 de plusieurs adresses IP.
> >>>> Je voudrais bloquer toute tentative  de connexion qui échoue (5
> >>>> connexions ratées).
> >>>> Si vous avez une piste je suis preneur.
> >>>> Merci
> >>>>
> >>>>
> >>> --
> >>> Julien Cabillot - SdV Plurimedia
> >>>
> >>> ________________________________
> >>> French OpenBSD mailing list
> >>> misc@...
> >>> http://www.openbsd-france.org/ml
> >>>
> >>>
> >>>
> >>
> >>
> >>
> >>
> >
> >
> > ________________________________
> > French OpenBSD mailing list
> > misc@...
> > http://www.openbsd-france.org/ml
> >
> >
>

> Pour le moment j'ai essai la methode suivante:
>
> table <bruteforce> persist
>
> block quick from <bruteforce>
>
> # special rule for ssh
> pass in on $ext_if proto tcp from any to ($ext_if) port ssh \
> flags S/SA keep state \
> (max-src-conn-rate 3/30, overload <ssh-bruteforce> flush global)
>
> Pour le moment je ne sais pas encore l'effic

> Bonjour,
>
> On Sun, Mar 22, 2009 at 07:26:21PM +0100, mamisoa ramambasoa wrote:
> > Pour le moment j'ai essai la methode suivante:
> >
> > table <bruteforce> persist
> >
> > block quick from <bruteforce>
> >
> > # special rule for ssh
> > pass in on $ext_if proto tcp from any to ($ext_if) port ssh \
> >       flags S/SA keep state \
> >       (max-src-conn-rate 3/30, overload <ssh-bruteforce> flush global)
> >
> > Pour le moment je ne sais pas encore l'effic
>
> J'utilise la même méthode chez moi sur mon firewall OpenBSD qui sécurise
> mon accès ADSL (Free).
>
> Sur une période de 7 jours, j'ai entre 30 à 40 IP bloquées suite à des
> scans SSH :
>
> $ pfctl -t ssh-bruteforce -Ts|wc -l
> 30
>
> Je conseille d'ajouter une purge régulière de la table 'ssh-bruteforce'
> via une entrée cron et la commande suivante (ici suppression des entrées
> de plus de 7 jours = 7*24*60*60) :
>
> /sbin/pfctl -q -t ssh-bruteforce -T expire 604800
>
> A++ Laurent
>
> ________________________________
> French OpenBSD mailing list
> misc@...
> http://www.openbsd-france.org/ml
>
>

> 2009/3/23 julien c <newixz@...>:
> > en meme tps qu'elle idée de laissé tourner son ssh sur du 22 ^^
> > ++
> >
>
> Au contraire, quelle idée de changer un port par défaut ;)
>
> --
> Mattieu Baptiste
> "/earth is 102% full ... please delete anyone you can."
>
> ________________________________
> French OpenBSD mailing list
> misc@...
> http://www.openbsd-france.org/ml
>
>

> Bonsoir,
>
> cette methode marche trés bien,
> pour la tester, il suffit de te connecter plus de 3fois (en 30s) lol
> vu que tu block a 3syn,
>
> l'avantage de cette methode c'est que ducoup on peu transformer notre jolie
> bsd en "ips", sans aucun soft.
> je m'explique,
> on fait un script qui check si il y a des hosts dans la table, par ex tt
> les
> 30s ou 1min, via une cron,
> si oui libre a toi d'effectuer l'action souhaitez, mail, lookup, whois,
> other... ?
>
> par ex un mail ==>
> function look_host {
>        echo "Check On Table"
>        pfctl -t ban -T show
>        if [ $? -lt 1 ]; then
>                echo "0 IP Banned"
>                exit 1
>        else
>                pfctl -t ban -T show | cut -d" " -f4 | mail -s "Ban" you@
>        fi
>        }
>
> Alors pf, ca rox no !!
> ++
>
>
>
>
>
> 2009/3/22 mamisoa ramambasoa <mramambasoa@...>
>
> > bonsoir à tous
> > merci encore pour tous les posts.
> > Pour le moment j'ai essai la methode suivante:
> >
> > table <bruteforce> persist
> >
> > block quick from <bruteforce>
> >
> > # special rule for ssh
> > pass in on $ext_if proto tcp from any to ($ext_if) port ssh \
> >        flags S/SA keep state \
> >        (max-src-conn-rate 3/30, overload <ssh-bruteforce> flush global)
> >
> > Pour le moment je ne sais pas encore l'effic
> >
> >
> >
> > 2009/3/16 zhack (fouine42) <fouine42@...>
> >
> > > Bonsoir,
> > >
> > > Il est possible de mettre en place du Port Knocking avec des WhiteList.
> > Le
> > > livre "Book of PF" est vraiment super. A acheter
> > > Cordialement
> > >
> > >
> > >
> > > Maxime DERCHE wrote:
> > >
> > >> Je dirais même
> > >> <http://home.nuug.no/~peter/pf/en/long-firewall.html#BRUTEFORCE<http://home.nuug.no/%7Epeter/pf/en/long-firewall.html#BRUTEFORCE>
> <http://home.nuug.no/%7Epeter/pf/en/long-firewall.html#BRUTEFORCE>
> > <http://home.nuug.no/%7Epeter/pf/en/long-firewall.html#BRUTEFORCE>
> > >> >.
> > >>
> > >> Et le début du Chapitre 6 de "The book of PF" (dont la traduction
> > >> française est presque terminée...).
> > >>
> > >> Cordialement,
> > >> Maxime
> > >>
> > >>
> > >> On Mon, 16 Mar 2009 22:06:20 +0100
> > >> Julien Cabillot <julien@...> wrote:
> > >>
> > >>
> > >>
> > >>> Salut,
> > >>> Il faut regarder du coté de pf :
> > >>> http://johan.fredin.info/openbsd/block_ssh_bruteforce.html
> > >>> Le principe est de limiter le nombre de connexion, ici 3 en 30
> > >>> secondes. Et après paf pf.
> > >>>
> > >>> Julien
> > >>>
> > >>> Le Mon, 16 Mar 2009 22:03:03 +0100,
> > >>> mamisoa ramambasoa <mramambasoa@...> a écrit :
> > >>>
> > >>>
> > >>>
> > >>>> bonjour à tous
> > >>>> j'ai un probleme depuis quelques jours sur la tentative de
> > >>>> connexion sur le port 22 de plusieurs adresses IP.
> > >>>> Je voudrais bloquer toute tentative  de connexion qui échoue (5
> > >>>> connexions ratées).
> > >>>> Si vous avez une piste je suis preneur.
> > >>>> Merci
> > >>>>
> > >>>>
> > >>> --
> > >>> Julien Cabillot - SdV Plurimedia
> > >>>
> > >>> ________________________________
> > >>> French OpenBSD mailing list
> > >>> misc@...
> > >>> http://www.openbsd-france.org/ml
> > >>>
> > >>>
> > >>>
> > >>
> > >>
> > >>
> > >>
> > >
> > >
> > > ________________________________
> > > French OpenBSD mailing list
> > > misc@...
> > > http://www.openbsd-france.org/ml
> > >
> > >
> >
>

> bonsoir
> merci pour la proposition mais mon pb avec cette methode, tout est bloqué
> sauf le port 22 et comme je ne maitrise pas encore PF j'ai opté pour
> sshguard pour le moment.
> J'ai sur mon DMZ apache port 80 et et webmin port 10000, du coup j'ai
> laissé
> tomber pour le moment.
> je vais essayer sshguard et voir comment ça se passe.
>
> 2009/3/22 julien c <newixz@...>
>
> > Bonsoir,
> >
> > cette methode marche trés bien,
> > pour la tester, il suffit de te connecter plus de 3fois (en 30s) lol
> > vu que tu block a 3syn,
> >
> > l'avantage de cette methode c'est que ducoup on peu transformer notre
> jolie
> > bsd en "ips", sans aucun soft.
> > je m'explique,
> > on fait un script qui check si il y a des hosts dans la table, par ex tt
> > les
> > 30s ou 1min, via une cron,
> > si oui libre a toi d'effectuer l'action souhaitez, mail, lookup, whois,
> > other... ?
> >
> > par ex un mail ==>
> > function look_host {
> >        echo "Check On Table"
> >        pfctl -t ban -T show
> >        if [ $? -lt 1 ]; then
> >                echo "0 IP Banned"
> >                exit 1
> >        else
> >                pfctl -t ban -T show | cut -d" " -f4 | mail -s "Ban" you@
> >        fi
> >        }
> >
> > Alors pf, ca rox no !!
> > ++
> >
> >
> >
> >
> >
> > 2009/3/22 mamisoa ramambasoa <mramambasoa@...>
> >
> > > bonsoir à tous
> > > merci encore pour tous les posts.
> > > Pour le moment j'ai essai la methode suivante:
> > >
> > > table <bruteforce> persist
> > >
> > > block quick from <bruteforce>
> > >
> > > # special rule for ssh
> > > pass in on $ext_if proto tcp from any to ($ext_if) port ssh \
> > >        flags S/SA keep state \
> > >        (max-src-conn-rate 3/30, overload <ssh-bruteforce> flush global)
> > >
> > > Pour le moment je ne sais pas encore l'effic
> > >
> > >
> > >
> > > 2009/3/16 zhack (fouine42) <fouine42@...>
> > >
> > > > Bonsoir,
> > > >
> > > > Il est possible de mettre en place du Port Knocking avec des
> WhiteList.
> > > Le
> > > > livre "Book of PF" est vraiment super. A acheter
> > > > Cordialement
> > > >
> > > >
> > > >
> > > > Maxime DERCHE wrote:
> > > >
> > > >> Je dirais même
> > > >> <http://home.nuug.no/~peter/pf/en/long-firewall.html#BRUTEFORCE<http://home.nuug.no/%7Epeter/pf/en/long-firewall.html#BRUTEFORCE>
> <http://home.nuug.no/%7Epeter/pf/en/long-firewall.html#BRUTEFORCE>
> > <http://home.nuug.no/%7Epeter/pf/en/long-firewall.html#BRUTEFORCE>
> > > <http://home.nuug.no/%7Epeter/pf/en/long-firewall.html#BRUTEFORCE>
> > > >> >.
> > > >>
> > > >> Et le début du Chapitre 6 de "The book of PF" (dont la traduction
> > > >> française est presque terminée...).
> > > >>
> > > >> Cordialement,
> > > >> Maxime
> > > >>
> > > >>
> > > >> On Mon, 16 Mar 2009 22:06:20 +0100
> > > >> Julien Cabillot <julien@...> wrote:
> > > >>
> > > >>
> > > >>
> > > >>> Salut,
> > > >>> Il faut regarder du coté de pf :
> > > >>> http://johan.fredin.info/openbsd/block_ssh_bruteforce.html
> > > >>> Le principe est de limiter le nombre de connexion, ici 3 en 30
> > > >>> secondes. Et après paf pf.
> > > >>>
> > > >>> Julien
> > > >>>
> > > >>> Le Mon, 16 Mar 2009 22:03:03 +0100,
> > > >>> mamisoa ramambasoa <mramambasoa@...> a écrit :
> > > >>>
> > > >>>
> > > >>>
> > > >>>> bonjour à tous
> > > >>>> j'ai un probleme depuis quelques jours sur la tentative de
> > > >>>> connexion sur le port 22 de plusieurs adresses IP.
> > > >>>> Je voudrais bloquer toute tentative  de connexion qui échoue (5
> > > >>>> connexions ratées).
> > > >>>> Si vous avez une piste je suis preneur.
> > > >>>> Merci
> > > >>>>
> > > >>>>
> > > >>> --
> > > >>> Julien Cabillot - SdV Plurimedia
> > > >>>
> > > >>> ________________________________
> > > >>> French OpenBSD mailing list
> > > >>> misc@...
> > > >>> http://www.openbsd-france.org/ml
> > > >>>
> > > >>>
> > > >>>
> > > >>
> > > >>
> > > >>
> > > >>
> > > >
> > > >
> > > > ________________________________
> > > > French OpenBSD mailing list
> > > > misc@...
> > > > http://www.openbsd-france.org/ml
> > > >
> > > >
> > >
> >
>

> les scans et les bruteforces contre ton serveur tu les enregistres et tu
> les
> scan et tu compile quelques exploits pour récuperer le controle de ces
> zombies et tu fait un serveur étranger gratos
>
> ca te permet d'apprendre les bases du hacking pour proteger ton serveur
>
> tchao
>
> 2009/3/24 mamisoa ramambasoa <mramambasoa@...>
>
> > bonsoir
> > merci pour la proposition mais mon pb avec cette methode, tout est bloqué
> > sauf le port 22 et comme je ne maitrise pas encore PF j'ai opté pour
> > sshguard pour le moment.
> > J'ai sur mon DMZ apache port 80 et et webmin port 10000, du coup j'ai
> > laissé
> > tomber pour le moment.
> > je vais essayer sshguard et voir comment ça se passe.
> >
> > 2009/3/22 julien c <newixz@...>
> >
> > > Bonsoir,
> > >
> > > cette methode marche trés bien,
> > > pour la tester, il suffit de te connecter plus de 3fois (en 30s) lol
> > > vu que tu block a 3syn,
> > >
> > > l'avantage de cette methode c'est que ducoup on peu transformer notre
> > jolie
> > > bsd en "ips", sans aucun soft.
> > > je m'explique,
> > > on fait un script qui check si il y a des hosts dans la table, par ex
> tt
> > > les
> > > 30s ou 1min, via une cron,
> > > si oui libre a toi d'effectuer l'action souhaitez, mail, lookup, whois,
> > > other... ?
> > >
> > > par ex un mail ==>
> > > function look_host {
> > >        echo "Check On Table"
> > >        pfctl -t ban -T show
> > >        if [ $? -lt 1 ]; then
> > >                echo "0 IP Banned"
> > >                exit 1
> > >        else
> > >                pfctl -t ban -T show | cut -d" " -f4 | mail -s "Ban"
> you@
> > >        fi
> > >        }
> > >
> > > Alors pf, ca rox no !!
> > > ++
> > >
> > >
> > >
> > >
> > >
> > > 2009/3/22 mamisoa ramambasoa <mramambasoa@...>
> > >
> > > > bonsoir à tous
> > > > merci encore pour tous les posts.
> > > > Pour le moment j'ai essai la methode suivante:
> > > >
> > > > table <bruteforce> persist
> > > >
> > > > block quick from <bruteforce>
> > > >
> > > > # special rule for ssh
> > > > pass in on $ext_if proto tcp from any to ($ext_if) port ssh \
> > > >        flags S/SA keep state \
> > > >        (max-src-conn-rate 3/30, overload <ssh-bruteforce> flush
> global)
> > > >
> > > > Pour le moment je ne sais pas encore l'effic
> > > >
> > > >
> > > >
> > > > 2009/3/16 zhack (fouine42) <fouine42@...>
> > > >
> > > > > Bonsoir,
> > > > >
> > > > > Il est possible de mettre en place du Port Knocking avec des
> > WhiteList.
> > > > Le
> > > > > livre "Book of PF" est vraiment super. A acheter
> > > > > Cordialement
> > > > >
> > > > >
> > > > >
> > > > > Maxime DERCHE wrote:
> > > > >
> > > > >> Je dirais même
> > > > >> <http://home.nuug.no/~peter/pf/en/long-firewall.html#BRUTEFORCE<http://home.nuug.no/%7Epeter/pf/en/long-firewall.html#BRUTEFORCE>
> <http://home.nuug.no/%7Epeter/pf/en/long-firewall.html#BRUTEFORCE>
> > <http://home.nuug.no/%7Epeter/pf/en/long-firewall.html#BRUTEFORCE>
> > > <http://home.nuug.no/%7Epeter/pf/en/long-firewall.html#BRUTEFORCE>
> > > > <http://home.nuug.no/%7Epeter/pf/en/long-firewall.html#BRUTEFORCE>
> > > > >> >.
> > > > >>
> > > > >> Et le début du Chapitre 6 de "The book of PF" (dont la traduction
> > > > >> française est presque terminée...).
> > > > >>
> > > > >> Cordialement,
> > > > >> Maxime
> > > > >>
> > > > >>
> > > > >> On Mon, 16 Mar 2009 22:06:20 +0100
> > > > >> Julien Cabillot <julien@...> wrote:
> > > > >>
> > > > >>
> > > > >>
> > > > >>> Salut,
> > > > >>> Il faut regarder du coté de pf :
> > > > >>> http://johan.fredin.info/openbsd/block_ssh_bruteforce.html
> > > > >>> Le principe est de limiter le nombre de connexion, ici 3 en 30
> > > > >>> secondes. Et après paf pf.
> > > > >>>
> > > > >>> Julien
> > > > >>>
> > > > >>> Le Mon, 16 Mar 2009 22:03:03 +0100,
> > > > >>> mamisoa ramambasoa <mramambasoa@...> a écrit :
> > > > >>>
> > > > >>>
> > > > >>>
> > > > >>>> bonjour à tous
> > > > >>>> j'ai un probleme depuis quelques jours sur la tentative de
> > > > >>>> connexion sur le port 22 de plusieurs adresses IP.
> > > > >>>> Je voudrais bloquer toute tentative  de connexion qui échoue (5
> > > > >>>> connexions ratées).
> > > > >>>> Si vous avez une piste je suis preneur.
> > > > >>>> Merci
> > > > >>>>
> > > > >>>>
> > > > >>> --
> > > > >>> Julien Cabillot - SdV Plurimedia
> > > > >>>
> > > > >>> ________________________________
> > > > >>> French OpenBSD mailing list
> > > > >>> misc@...
> > > > >>> http://www.openbsd-france.org/ml
> > > > >>>
> > > > >>>
> > > > >>>
> > > > >>
> > > > >>
> > > > >>
> > > > >>
> > > > >
> > > > >
> > > > > ________________________________
> > > > > French OpenBSD mailing list
> > > > > misc@...
> > > > > http://www.openbsd-france.org/ml
> > > > >
> > > > >
> > > >
> > >
> >
>

> Ce ne serait pas deja toi qui avait dit qu'un FW çà ne servait à rien ??
> Dit comme çà, on voit que tu sais de quoi tu parles...
>
> Nice ^^
>
>
> 2009/3/24 patriotefr patriotefr <patriotefr@...>
>
> > les scans et les bruteforces contre ton serveur tu les enregistres et tu
> > les
> > scan et tu compile quelques exploits pour récuperer le controle de ces
> > zombies et tu fait un serveur étranger gratos
> >
> > ca te permet d'apprendre les bases du hacking pour proteger ton serveur
> >
> > tchao
> >
> > 2009/3/24 mamisoa ramambasoa <mramambasoa@...>
> >
> > > bonsoir
> > > merci pour la proposition mais mon pb avec cette methode, tout est
> bloqué
> > > sauf le port 22 et comme je ne maitrise pas encore PF j'ai opté pour
> > > sshguard pour le moment.
> > > J'ai sur mon DMZ apache port 80 et et webmin port 10000, du coup j'ai
> > > laissé
> > > tomber pour le moment.
> > > je vais essayer sshguard et voir comment ça se passe.
> > >
> > > 2009/3/22 julien c <newixz@...>
> > >
> > > > Bonsoir,
> > > >
> > > > cette methode marche trés bien,
> > > > pour la tester, il suffit de te connecter plus de 3fois (en 30s) lol
> > > > vu que tu block a 3syn,
> > > >
> > > > l'avantage de cette methode c'est que ducoup on peu transformer notre
> > > jolie
> > > > bsd en "ips", sans aucun soft.
> > > > je m'explique,
> > > > on fait un script qui check si il y a des hosts dans la table, par ex
> > tt
> > > > les
> > > > 30s ou 1min, via une cron,
> > > > si oui libre a toi d'effectuer l'action souhaitez, mail, lookup,
> whois,
> > > > other... ?
> > > >
> > > > par ex un mail ==>
> > > > function look_host {
> > > >        echo "Check On Table"
> > > >        pfctl -t ban -T show
> > > >        if [ $? -lt 1 ]; then
> > > >                echo "0 IP Banned"
> > > >                exit 1
> > > >        else
> > > >                pfctl -t ban -T show | cut -d" " -f4 | mail -s "Ban"
> > you@
> > > >        fi
> > > >        }
> > > >
> > > > Alors pf, ca rox no !!
> > > > ++
> > > >
> > > >
> > > >
> > > >
> > > >
> > > > 2009/3/22 mamisoa ramambasoa <mramambasoa@...>
> > > >
> > > > > bonsoir à tous
> > > > > merci encore pour tous les posts.
> > > > > Pour le moment j'ai essai la methode suivante:
> > > > >
> > > > > table <bruteforce> persist
> > > > >
> > > > > block quick from <bruteforce>
> > > > >
> > > > > # special rule for ssh
> > > > > pass in on $ext_if proto tcp from any to ($ext_if) port ssh \
> > > > >        flags S/SA keep state \
> > > > >        (max-src-conn-rate 3/30, overload <ssh-bruteforce> flush
> > global)
> > > > >
> > > > > Pour le moment je ne sais pas encore l'effic
> > > > >
> > > > >
> > > > >
> > > > > 2009/3/16 zhack (fouine42) <fouine42@...>
> > > > >
> > > > > > Bonsoir,
> > > > > >
> > > > > > Il est possible de mettre en place du Port Knocking avec des
> > > WhiteList.
> > > > > Le
> > > > > > livre "Book of PF" est vraiment super. A acheter
> > > > > > Cordialement
> > > > > >
> > > > > >
> > > > > >
> > > > > > Maxime DERCHE wrote:
> > > > > >
> > > > > >> Je dirais même
> > > > > >> <http://home.nuug.no/~peter/pf/en/long-firewall.html#BRUTEFORCE<http://home.nuug.no/%7Epeter/pf/en/long-firewall.html#BRUTEFORCE>
> <http://home.nuug.no/%7Epeter/pf/en/long-firewall.html#BRUTEFORCE>
> > <http://home.nuug.no/%7Epeter/pf/en/long-firewall.html#BRUTEFORCE>
> > > <http://home.nuug.no/%7Epeter/pf/en/long-firewall.html#BRUTEFORCE>
> > > > <http://home.nuug.no/%7Epeter/pf/en/long-firewall.html#BRUTEFORCE>
> > > > > <http://home.nuug.no/%7Epeter/pf/en/long-firewall.html#BRUTEFORCE>
> > > > > >> >.
> > > > > >>
> > > > > >> Et le début du Chapitre 6 de "The book of PF" (dont la
> traduction
> > > > > >> française est presque terminée...).
> > > > > >>
> > > > > >> Cordialement,
> > > > > >> Maxime
> > > > > >>
> > > > > >>
> > > > > >> On Mon, 16 Mar 2009 22:06:20 +0100
> > > > > >> Julien Cabillot <julien@...> wrote:
> > > > > >>
> > > > > >>
> > > > > >>
> > > > > >>> Salut,
> > > > > >>> Il faut regarder du coté de pf :
> > > > > >>> http://johan.fredin.info/openbsd/block_ssh_bruteforce.html
> > > > > >>> Le principe est de limiter le nombre de connexion, ici 3 en 30
> > > > > >>> secondes. Et après paf pf.
> > > > > >>>
> > > > > >>> Julien
> > > > > >>>
> > > > > >>> Le Mon, 16 Mar 2009 22:03:03 +0100,
> > > > > >>> mamisoa ramambasoa <mramambasoa@...> a écrit :
> > > > > >>>
> > > > > >>>
> > > > > >>>
> > > > > >>>> bonjour à tous
> > > > > >>>> j'ai un probleme depuis quelques jours sur la tentative de
> > > > > >>>> connexion sur le port 22 de plusieurs adresses IP.
> > > > > >>>> Je voudrais bloquer toute tentative  de connexion qui échoue
> (5
> > > > > >>>> connexions ratées).
> > > > > >>>> Si vous avez une piste je suis preneur.
> > > > > >>>> Merci
> > > > > >>>>
> > > > > >>>>
> > > > > >>> --
> > > > > >>> Julien Cabillot - SdV Plurimedia
> > > > > >>>
> > > > > >>> ________________________________
> > > > > >>> French OpenBSD mailing list
> > > > > >>> misc@...
> > > > > >>> http://www.openbsd-france.org/ml
> > > > > >>>
> > > > > >>>
> > > > > >>>
> > > > > >>
> > > > > >>
> > > > > >>
> > > > > >>
> > > > > >
> > > > > >
> > > > > > ________________________________
> > > > > > French OpenBSD mailing list
> > > > > > misc@...
> > > > > > http://www.openbsd-france.org/ml
> > > > > >
> > > > > >
> > > > >
> > > >
> > >
> >
>

> Le troll de la journée, dans un thread dont le titre pique aux yeux :
>
> On Wed, 25 Mar 2009 00:14:55 +0100
> patriotefr patriotefr <patriotefr@...> wrote:
>
>> J'ai dit que le firewall ne servait à rien dans un cas bien précis
>> Et puis pourquoi ne parlerais tu pas pour dire des choses
>> intelligentes fiston ? au lieu de pourrir le post ^^
>
> C'est vrai que c'était vachement intelligent de lancer l'idée de
> pirater les machines qui tentent de la force brute sur un serveur...
> Surtout sur une liste de diffusion comme celle-ci.
> J'ai aussi beaucoup apprécié l'amalgame hacker-pirate. Tu bosserais pas
> pour Zataz ?

> Le 25.03.2009 03:46, Maxime DERCHE a écrit :
> > Le troll de la journée, dans un thread dont le titre pique aux yeux :
> >
> > On Wed, 25 Mar 2009 00:14:55 +0100
> > patriotefr patriotefr <patriotefr@...> wrote:
> >
> >> J'ai dit que le firewall ne servait à rien dans un cas bien précis
> >> Et puis pourquoi ne parlerais tu pas pour dire des choses
> >> intelligentes fiston ? au lieu de pourrir le post ^^
> >
> > C'est vrai que c'était vachement intelligent de lancer l'idée de
> > pirater les machines qui tentent de la force brute sur un serveur...
> > Surtout sur une liste de diffusion comme celle-ci.
> > J'ai aussi beaucoup apprécié l'amalgame hacker-pirate. Tu bosserais pas
> > pour Zataz ?
>
> Et puis ce n'est pas comme si c'était tout à fait illégal d'effectuer ce
> genre d'action.(articles 323 alinéas 1 à 7 du code pénal).
>
> Et puis ce n'est pas comme si c'était tout à fait illégal de prôner ce
> genre d'acte comme le dit Mr Derche.
>
> Et puis ce n'est pas comme si les zombies en question n'avaient pas été
> immédiatement protégés contre ce genre de prise de contrôle adverse.
>
> Du grand n'importe quoi, effectivement !
>
>
> --
> Cordialement.
> - Lycée Alfred Nobel,Clichy sous bois http://www.lyceenobel.org
>
> ________________________________
> French OpenBSD mailing list
> misc@...
> http://www.openbsd-france.org/ml
>
>

> oui du grand n'importe quoi comme toi ^^
> je quitte cette entraide car visiblement la culture underground ne vous dis
> rien et c'est grâce à eux que vous avez vos système sécurisé.
> petit esprit ;)
>
>
> Le 25 mars 2009 10:23, Philippe Schwarz <phil@...> a écrit :
>
>> Le 25.03.2009 03:46, Maxime DERCHE a écrit :
>>> Le troll de la journée, dans un thread dont le titre pique aux yeux :
>>>
>>> On Wed, 25 Mar 2009 00:14:55 +0100
>>> patriotefr patriotefr <patriotefr@...> wrote:
>>>
>>>> J'ai dit que le firewall ne servait à rien dans un cas bien précis
>>>> Et puis pourquoi ne parlerais tu pas pour dire des choses
>>>> intelligentes fiston ? au lieu de pourrir le post ^^
>>> C'est vrai que c'était vachement intelligent de lancer l'idée de
>>> pirater les machines qui tentent de la force brute sur un serveur...
>>> Surtout sur une liste de diffusion comme celle-ci.
>>> J'ai aussi beaucoup apprécié l'amalgame hacker-pirate. Tu bosserais pas
>>> pour Zataz ?
>> Et puis ce n'est pas comme si c'était tout à fait illégal d'effectuer ce
>> genre d'action.(articles 323 alinéas 1 à 7 du code pénal).
>>
>> Et puis ce n'est pas comme si c'était tout à fait illégal de prôner ce
>> genre d'acte comme le dit Mr Derche.
>>
>> Et puis ce n'est pas comme si les zombies en question n'avaient pas été
>> immédiatement protégés contre ce genre de prise de contrôle adverse.
>>
>> Du grand n'importe quoi, effectivement !
>>
>>
>> --
>> Cordialement.
>> - Lycée Alfred Nobel,Clichy sous bois http://www.lyceenobel.org
>>
>> ________________________________
>> French OpenBSD mailing list
>> misc@...
>> http://www.openbsd-france.org/ml