evolix
/
wiki
22
0
Fork 0
Code Releases Activity

Correction règle qui ne correspondait plus

This commit is contained in:
jdubois 2020-03-12 15:05:42 +01:00
parent 5939896b57
commit c6a813f823
1 changed files with 1 additions and 1 deletions
Show Stats Download Patch File Download Diff File Expand all files Collapse all files

2
HowtoOpenBSD/PacketFilter.md
View File

@ -168,7 +168,7 @@ Ces règles signifient que :
- Seules 5 connexions peuvent se faire sur un laps de temps de 30 secondes par une même IP (`max-src-conn-rate 5/30`).
- Au-delà des 5 connexions échouées durant ces 30 secondes, l'IP en question est insérée dans la table <blacklist-ssh> (`overload <blacklist-ssh>`).
- Les autres connexions établies par cette même IP sur cette même régle (connexion SSH vers le port 2222) sont tuées (`flush`).
- L'IP est bannie. Elle peut toujours tenter toute autre connexion, mais ne peut plus tenter de connexion SSH vers le port 2222 (`block in quick proto tcp from <blacklist-ssh> to port 2222`). Cette règle peut être adaptée selon ce que l'on veut bloquer à l'IP bannie.
- L'IP est bannie. Elle peut toujours tenter toute autre connexion, mais ne peut plus tenter de connexion SSH vers le port 2222 (`block in quick on $ext_if proto tcp from <blacklist-ssh> to port 2222`). Cette règle peut être adaptée selon ce que l'on veut bloquer à l'IP bannie.
- Les IPs contenues dans la table <whitelist-ssh> peuvent toujours se connecter, sans jamais être soumis aux limites contre le brute force.
La table ne se vide pas avec un rechargement de pf (`pfctl -f /etc/pf.conf`).