Exception réseau local Fail2ban
Par défaut, toutes les tentatives sont soumises à la vérification. Lors de la configuration (sévère) sur le protocole ssh
dans l'article suivant, il n'est pas laissé beaucoup de chance aux tentatives, uniquement un essai. Mais cela peut être problématique pour tous les accès depuis un réseau "local".
Cet article présente comment ajouter une exceptions pour ce cas.
Les modifications ont été réalisées sur une version 0.9.7
de Fail2ban
.
Sommaire
Votre avis
Nobody voted on this yet
|
|
Analyse
Une configuration globale est mise à disposition dans le fichier /etc/fail2ban/jail.conf
. La section DEFAULT
permet de spécifier les éléments de configurations appliqués à toutes les règles. La première option documentée concerne justement les addresses IP ignorées.
[DEFAULT]
#
# MISCELLANEOUS OPTIONS
#
# "ignoreip" can be an IP address, a CIDR mask or a DNS host. Fail2ban will not
# ban a host which matches an address in this list. Several addresses can be
# defined using space (and/or comma) separator.
ignoreip = 127.0.0.1/8
Par défaut, toutes les addresses "locales" sont donc ignorées.
Configuration
Préparation environnement
Comme il est recommandé, les personnalisations seront placés dans un nouveau fichier jail.local
créé dans le répertoire /etc/fail2ban
. Les permissions mises en place sont inspirées des fichiers fournis par la distribution.
#sudo touch /etc/fail2ban/jail.local #sudo chown root:root /etc/fail2ban/jail.local #sudo chmod 644 /etc/fail2ban/jail.local
Personnalisation
L'objectif est d'ignorer un ensemble d'adresse IP du réseau local, du style 192.168.1.1
à 192.168.1.16
. Le paramètre ignoreip
dans la section DEFAULT
permet de fournir les adresses séparées par un espace ou une virgule. La nomenclature CIDR mask
est disponible pour spécifier un ensemble d'adresse IP. La valeur 192.168.1.0/27
permet de configurer un ensemble de 32 addresses.
Le contenu du fichier est le suivant.
[DEFAULT]
ignoreip = 127.0.0.1/8 192.168.1.0/27
Activation
La modification sera effective une fois l'exécution de la commande fail2ban-client
avec l'argument reload
.
#sudo fail2ban-client reload