Ip Bannies

[Tyvix]

Bonjour

 

En allant faire un tour dans les "logs" j ai remarqué plusieurs tentatives de connexion via SSH

 

Voici le contenu de la log (et la capture d écran en piece jointe)

 

2013-12-2321:58:26System127.0.0.1localhost[security] Access Violation from 202.43.101.122 with TCP (port=2222)
2013-12-2322:15:23System127.0.0.1localhost[security] Access Violation from 202.43.101.122 with TCP (port=2222)
2013-12-2321:49:58System127.0.0.1localhost[security] Access Violation from 202.43.101.122 with TCP (port=2222)
2013-12-2320:38:03System127.0.0.1localhost[security] Access Violation from 202.43.101.122 with TCP (port=2222)
2013-12-2321:37:17System127.0.0.1localhostAdd IP: [202.43.101.122] to ban list forever.yP (port=2222)
2013-12-2320:29:36System127.0.0.1localhost[security] Access Violation from 202.43.101.122 with TCP (port=2222)
2013-12-2323:23:04System127.0.0.1localhost[security] Access Violation from 202.43.101.122 with TCP (port=2222)
2013-12-2323:14:36System127.0.0.1localhost[security] Access Violation from 202.43.101.122 with TCP (port=2222)
2013-12-2323:06:08System127.0.0.1localhost[security] Access Violation from 202.43.101.122 with TCP (port=2222)

 

J ai modifié la règle de bannissement pour passer à 5 tentatives en 30Minutes

L IP a bien été détécté et bannie automatiquement

 

Malgré cette règle , elle ne semble pas prise en compte ?

 

J ai meme relancé (reboot) le Nas

 

Y a t il une manipulation particulière pour la prise en compte de la règle ?

 

@+

[father_mande]

Bonjour,

 

Le bannissement automatique est géré au niveau applicatif, pas réseau ...

 

Donc l’accès a lieu, puis est rejeté ... d'ou log et visibilité ...

 

vous pourriez bannit l'I.P. pour TOUT avec "niveau de sécurité" là cela se gère au niveau réseau  ... mais généralement les adresses changent ... rapidement ...

 

Philippe.

NB évitez les ports "trop tentant" ... prenez un 5522 ou alors un 12121 par ex. plutôt qu'un 2222 ... un peu trop "usité" maintenant ...

[father_mande]

Bonjour,

 

Connaissez-vous cette adresse ... ?

sinon, changez de port ... c'est le plus simple ...

 

Philippe.

[RemiL54]

Bonsoir

suite à des pb de Qget je retourne les parametres de mon nas et je découvre cette adresse IP qui semble essayer de se connecter sur mon NAS 1.234....voir piece jointe

Que dois je penser de cela ?

est ce une tentative d'intrusion ? dois je fais un clic droit et bannir ?

 

Merci pour vos infos

[father_mande]

Bonjour,

 

A priori, OUI, si elle ne vous est pas connu ... inutile si c'est un robot de bannir l'I.P. il va recommencer avec une autre ... 

 

Changez plutôt le port du FTP en utilisant un port > à  1024 ... genre 2121 par ex. et adaptez les redirections du routeur si vous n'utilisez pas Upnp/IGD (MyCloud) 

 

Philippe/

[Tyvix]

Bonjour,

 

Connaissez-vous cette adresse ... ?

sinon, changez de port ... c'est le plus simple ...

 

Philippe.

 

 

Bonjour Philippe

 

Pour la solution de contournement c est facile a mettre en place

 

vu la log c est une personne qui tente une intrusion avec un dico

pour l avoir "observè" il va meme jusqu a espacer les tentatives de connexion

 

Ayant un ip non fixe j ai rebooté le boitier adsl

J ai changè le port pour une connexion en telnet

Je n active le "telnet" qu en cas de necessitè absolue

Je recois bien le mail en cas de tentative de connexion

 

Mais j aurais aimé comprendre pourquoi le Filtre a bien etait mis en automatique en place

Et que malgré cela les tentatives continuaient ???

 

@+

[Tyvix]

Merci pour les infos