Remise à 0 de iptables automatique?

Recif

WRInaute impliqué
Bonjour,

Régulièrement mes tables d'iptables sont entièrement vidées, automatiquement... Y a t-il un process qui peut provoquer ça?! :(

Merci
 

salva

WRInaute accro
Il me semble que le service (couplé à Fail2ban), par défaut, redémarre tous les 7 jours. D'ou les tables vides.
 

Recif

WRInaute impliqué
Oui, je sais comment sauvegarder la conf et la restaurer. Mais j'aimerai qu'elle ne disparaisse pas...
 

salva

WRInaute accro
Je ne suis pas certain de te suivre.
Quand tu écris : "Régulièrement mes tables d'iptables sont entièrement vidées, automatiquement", vidées de quoi, des IPs bannies ?
 

Recif

WRInaute impliqué
Oui, quand je fais un iptables -L tout est vierge, plus aucune ip n'apparait. Alors je refais un restaure puis un iptables -L et là je les vois à nouveau...
 

salva

WRInaute accro
A part un script, je ne vois pas.

Utilisé avec Fail2ban sur mon serveur, c'est la rotation des log qui remonte l'interface réseau et vide mes tables.

Tu dois identifié ce qui remonte l'interface réseau et lancer le script juste après.

Ps : avec Fail2ban ou Netfilter, les scripts foisonnent.
Ps2 : quel est l'intérêt de restaurer les IPs bannies ?
 

Recif

WRInaute impliqué
Ben l'interêt c'est d'avoir à nouveau les ips dans iptables :) Sinon ça sert à rien que je les banissent...
Pour le script aucune idée... Comment savoir lequel?... Perso j'en ai mis aucun en place, donc c'est forcément un script système...
 

salva

WRInaute accro
Ben si elles ont été bannies une fois, elles le seront encore les fois suivantes :)

Un serveur spammé ou hacké, l'est dans la grande majorité des cas, temporairement.

Jette un oeil à la rotation des logs (connais pas Débian).
 

Recif

WRInaute impliqué
Ben non elle ne sera plus bannie si la table est vidée et c'est justement là le problème... Car c'est bien ce qu'il se passe. Et c'est bien pour ça que je dois restaurer un backup à chaque fois.
Qu'est ce que je dois regarder dans la rotation des logs exactement?
 

salva

WRInaute accro
Tu dois bien avoir des logs iptables, message systèmes divers,...
Repère ( l'heure ) à quel moment de la journée (ou de la semaine) les tables se vident. Si ça se produit à heure fixe, un petit cron qui restaure les tables.

PS : chez moi, les IPs bannies se vident mais les règles restent intactes au reboot. Adopte Fail2ban :)
 

Discussions similaires

Haut