Reprise du message précédent :

C'est pas une raison. Un firewall doit être opérationnel AVANT que les interfaces réseaux soient montées et avant de router n'importe quel packet

 
Pas d'apres nmap

 
En théorie oui.
 
Mais la théorie de la sécurité c'est toujours à prendre avec des pincettes, faut savoir ou s'arretter pour pas que ça empiéte trop sur la simplicité d'utilisation ...
 
Mais bon normalement le FW tu le qualifie et après tu peux le mettre en démarage auto sans probléme.

D'un coté, ce n'est pas un truc pro mon serveur, c'est juste pour faire style (il y a juste mon site dessus)

tu n'as aucun autre service que ssh, DNS et http ???

 
C'est un serveur web d'un coté ça lui suffit
 
Il a postfix mais il ne sert qu'a envoyer des mails, pas en recevoir.

ah tu vois

Ben oui, mais il écoute sur 127.0.0.1 donc il ne compte pas

 
1h .. c'est pas le blocage avec le code ci-dessus..
 
1h c'est le blocage totale de toute la machine suite à une erreur de configuration du firewall (sachant que iptables sur les noyaux OVH sont un peu différent des noyaux débian dont j'ai l'habitude)..
1h c'est le temps qu'il faut pour remettre tout en route correctement : 1 Reboot Electrique.. puis un boot réseau.. puis 1 reboot.. avec l'occupation des techniciens OVH.. ça m'a pris plus d'une heure la dernière fois que ça m'est arrivé..  
 
donc, mon firewall, le script d'init.. j'y touche plus pour le moment..  
 
un plantage firewall c'est par exemple.. il s'arrête entre les actions DROP ALL  et ACCEPT => du coup tu as un serveur dans une tour d'ivoire..  
 
Ce genre de problème n'apparait pas si tu as le serveur sous la main.. (tu te connectes sur la console et tu débug le tout à la main)
 
Mais ça sort un peu du débat tout ça ..
 
Mais.. je testerais à l'occaz.  et j'essayerais de comprendre pourquoi la première fois que j'ai mis en place "recent".. ça n'a pas empêché un brute force de passer comme si de rien était.

Bon après une semaine d'utilisation..  
 
Mon retour d'expérience vis à vis de fail2ban..
 
Durant tout le WE.. 3 machines n'ont pas cessé de tenter du brute force..  
 
ça veut dire que même banie pendant 10 minutes.. au bout d'un certain temps elles retentent.
 
ça va terminer en blacklist pur et dur.. mais c'est domage..
 
Je pense que le module "recent" donne le même résultat.. mais je tenterais quand même l'action des 2.
 
Avez-vous vu des tentatives après banissement de vos attaquants.. (ou alors j'ai quelqu'un qui m'en veut particuliairement..  

A 3 tentatives toutes les 10 minutes, dans quelques siecles, elle auras trouvé le bon mot de passe

c'est pas faux.. bon j'ai passé à 10h.. .. (je sais, je suis bourrin)

ce qui est bien avec fail2ban c'est qu'on peut bloquer les gens qui forcent aussi les htaccess d'apache. Et meme d'autres services en faisant les bonnes regex

C'est un antibrute force en fait

moi j'aimerai bien savoir comment éviter que iptables polue syslog.
j'en ai rien à secouer des logs de paquets je les lis jamais

utiliser ulog ?
supprimer toutes les -j LOG ?