Bonjour,

J'ai mis du temps à m'y mettre, finalement j'ai décidé d'installer fail2ban, sur Debian GNU/Linux, pour allèger "mes" logs, mais
fail2ban "ne rien bannir"^^...fail2ban n'a le mérite que de m'avertir (par mail) qu'il croit l'avoir fait, et qu'il croit que ça a été fait, mais rien n'a été banni par iptables : iptables -vL ne montre pas que les règles iptables ont été modifiées par fail2ban...?

Citation Envoyé par N_BaH
hmmm ça va finir en script shell (à l'arrache, même), si ça doit me gonfler trop longtemps...

aujourd'hui, c'est une attaque via ftp
dans le log de fail2ban, je relève :
iptables -D INPUT -p tcp -m multiport --dports ftp,ftp-data,ftps,ftps-data -j fail2ban-ftp-vservers

ce qui me suggère que fail2ban tente d'effacer une règle qui est supposée exister, mais si elle n'existe pas...?
dès le démarrage :
Citation Envoyé par iptables -vL
Chain fail2ban-apache-vservers (1 references)
pkts bytes target prot opt in out source destination
0 0 RETURN all -- any any anywhere anywhere

Chain fail2ban-ftp-vservers (1 references)
pkts bytes target prot opt in out source destination
0 0 RETURN all -- any any anywhere anywhere

Chain fail2ban-ssh (1 references)
pkts bytes target prot opt in out source destination
0 0 RETURN all -- any any anywhere anywhere
donc, j'ai dû raté quelque chose, mais quoi ?

voici "mon" jail.conf :
# Fail2Ban configuration file.

[DEFAULT]
ignoreip = 127.0.0.1 192.168.1.XXX
findtime = 300
bantime = 3200
#600
maxretry = 3
backend = polling
destemail = root@localhost
banaction = iptables-multiport
mta = sendmail
protocol = tcp

# ACTIONS
action_ = %(banaction)s[name=%(__name__)s, port="%(port)s", protocol="%(protocol)s]
action_mw = %(banaction)s[name=%(__name__)s, port="%(port)s", protocol="%(protocol)s]
%(mta)s-whois[name=%(__name__)s, dest="%(destemail)s", protocol="%(protocol)s]
action_mwl = %(banaction)s[name=%(__name__)s, port="%(port)s", protocol="%(protocol)s]
%(mta)s-whois-lines[name=%(__name__)s, dest="%(destemail)s", logpath=%(logpath)s]

action = %(action_mwl)s

# JAILS
[ssh]
enabled = true
port = ssh
filter = sshd
logpath = /var/log/auth.log
maxretry = 6

[ftp-vservers]
enabled = true
port = ftp,ftp-data,ftps,ftps-data
filter = proftpd
logpath = /var/lib/vservers/vMonServeur/var/log/proftpd/proftpd.log
#maxretry = 5
#action = iptables[name=ProFTPD, port=ftp, protocol=tcp]

[apache-vservers]
enabled = true
port = http,https
filter = apache-auth
logpath = /var/lib/vservers/vMonServeur/var/log/apache*/*error.log
maxretry = 5
#action = hostsdeny
par avance merci;

puis-je vous aider davantage ?