« LINUX:XTABLES-ADDONS » : différence entre les versions
Aucun résumé des modifications |
Aucun résumé des modifications |
||
| (3 versions intermédiaires par le même utilisateur non affichées) | |||
| Ligne 14 : | Ligne 14 : | ||
Pour l'installer, exécutez la commande de ligne sous Linux: | Pour l'installer, exécutez la commande de ligne sous Linux: | ||
dnf install https://download1.rpmfusion.org/free/fedora/rpmfusion-free-release-$(rpm -E %fedora).noarch.rpm | dnf install <nowiki>https://download1.rpmfusion.org/free/fedora/rpmfusion-free-release-$(rpm -E %fedora).noarch.rpm</nowiki> | ||
Par la occasion, on peut ajouter le dépôt "RpmFusion non Free": | Par la occasion, on peut ajouter le dépôt "RpmFusion non Free": | ||
dnf install https://download1.rpmfusion.org/nonfree/fedora/rpmfusion-nonfree-release-$(rpm -E %fedora).noarch.rpm | dnf install <nowiki>https://download1.rpmfusion.org/nonfree/fedora/rpmfusion-nonfree-release-$(rpm -E %fedora).noarch.rpm</nowiki> | ||
Suite à ces diverses manipulations, il est prudent d'effectuer un nettoyage: | Suite à ces diverses manipulations, il est prudent d'effectuer un nettoyage: | ||
| Ligne 46 : | Ligne 46 : | ||
/usr/sbin/akmods --force --kernels 5.17.6-300.fc36.x86_64 | /usr/sbin/akmods --force --kernels 5.17.6-300.fc36.x86_64 | ||
Cette compilation crée un fichier d'installation RPM et dans la foulée, il est l'installe. Pour être sûr du bon fonctionnement de cette commande, il faut s'assurer que le module correspondant n'est pas | Cette compilation crée un fichier d'installation RPM et dans la foulée, il est l'installe. Pour être sûr du bon fonctionnement de cette commande, il faut s'assurer que le module correspondant n'est pas installé. | ||
La commande suivante permet de le vérifier: | La commande suivante permet de le vérifier: | ||
| Ligne 131 : | Ligne 131 : | ||
-A INPUT -m psd --psd-weight-threshold 5 --psd-hi-ports-weight 3 -j LOG --log-level debug --log-prefix "PORTSCAN(I):" | -A INPUT -m psd --psd-weight-threshold 5 --psd-hi-ports-weight 3 -j LOG --log-level debug --log-prefix "PORTSCAN(I):" | ||
-A INPUT -m psd --psd-weight-threshold 5 --psd-hi-ports-weight 3 -j DROP | -A INPUT -m psd --psd-weight-threshold 5 --psd-hi-ports-weight 3 -j DROP | ||
* On peut combiner cette limitation géographique avec une limitation du trafic (module hashlimit) et à un regroupement de sub-net (option: hashlimit-srcmask) pour la comptabilisation de ce trafic en seconde étape plus restrictive. La première peut limiter une attaque DOS , la seconde une attaque DDOS provenant d'une sous-zone géographique. Au contraire du premier exemple au bloque tout accès à un pays, ces commandes permettent l'accès mais de façon contenue. | |||
-A INPUT -m geoip --src-cc CN,RU -p tcp -m tcp -m hashlimit --hashlimit-above 600/sec --hashlimit-burst 200 --hashlimit-mode dstip,dstport --hashlimit-name limitecnru -j LOG --log-level debug --log-prefix "HASH(CN-RU): " | |||
-A INPUT -m geoip --src-cc CN,RU -p tcp -m tcp -m hashlimit --hashlimit-above 600/sec --hashlimit-burst 200 --hashlimit-mode dstip,dstport --hashlimit-name limitecnru -j DROP | |||
-A INPUT -m geoip --src-cc CN,RU -p tcp -m tcp --syn -m hashlimit --hashlimit-above 600/sec --hashlimit-burst 200 --hashlimit-mode srcip --hashlimit-namesyncnru --hashlimit-htable-size 2097152 --hashlimit-srcmask 24 -j LOG --log-level debug --log-prefix "HASH24(CN-RU): " | |||
-A INPUT -m geoip --src-cc CN,RU -p tcp -m tcp --syn -m hashlimit --hashlimit-above 600/sec --hashlimit-burst 200 --hashlimit-mode srcip --hashlimit-namesyncnru --hashlimit-htable-size 2097152 --hashlimit-srcmask 24 -j DROP | |||
Ces messages peuvent être interceptés par un HIDS par exemple [[LINUX:Wazuh: HIDS|Wazuh]] pour un traitement plus poussé. | |||