« Sauvegardez le fichier et créez ensuite le script suivant dans /etc/init.d/block

[...]

chmod +x /etc/init.d/block

Ainsi, le script sera lancé à chaque redémarrage de votre serveur. »

A vrai dire, il ne suffit pas que le script soit rendu exécutable pour qu’il soit lancé au démarrage du système.
Il faut créer un lien vers au moins un des répertoires utilisés pour démarrer les scripts système V, c’est à dire : /etc/rcX.d/AAnom_du_script ou « X » correspond au runlevel, et « AA » deux digits qui correspondent à l’ordre d’exécution des scripts au démarrage.

Ce lien peut se créer manuellement :
ln -s /etc/init.d/block /etc/rc2.d/S99block

Ou avec la commande update-rc.d :
update-rc.d block defaults 99

Cependant, je pense qu’un script mettant en place des règles iptables est plus lié au démarrage du réseau plutôt qu’au démarrage de la machine. Donc au lieu de le rattacher à un répertoire rcX.d, je créerais un script de lancement dans /etc/network/if-up.d :

#–
#! /bin/sh

/etc/init.d/block

#–

A noter que de cette manière il est également possible de lancer le script au démarrage d’une interface particulière grâce à la variable : « $IFACE ».

#–
#! /bin/sh

if [ "$IFACE" == "eth0" ]; then
/etc/init.d/block
fi
#–

Et pour finir, si on veut faire les choses un peu plus proprement, on pourra partir du template /etc/init.d/skeleton enfin de construire le script block de façon à ce qu’il soit utilisable comme n’importe quel initscript (ie. avec start, stop, restart, etc).

Ca permettrait entre autre de désactiver les règles iptables quand notre réseau est down, simplement en ajoutant un script qui lance « /etc/init.d/bock stop » dans /etc/network/if-down.d.

Ça marche pour ssh, ftp, smb, http… ou n’importe quelle application que vous développez vous-même:
http://www.commentcamarche.net/faq/sujet-18225-utiliser-fail2ban-pour-proteger-votre-application-web

Sans oublier, pour ne pas condamner les ip dynamique à vie qu’on peut inclure un paramètre de « TTL ». Donc pour les petits filou méchant tout plein bah suffit de les envoyé baladé. Ou encore mieux les envoyé sur une page avertissement leur expliquant que ce qu’il font est vain

Sinon je confirme pour iptablev6. C’est pas encore très utile dans l’immédiat , mais sera diablement utile sous ipv6. Car ipv6 = statique + « personnelle »

Sous iptable aussi y’a moyen si je ne me trompe d’établir des règles. Les petits bots qui refresh 40 000 fois par heure. Bah on peut dire que si une IP fait un 10 refresh en 10 seconde qu’elle soit bannie X temps.
c’est bien mieux que d’aller éditer chaque fois le conf.

Et faut dire à mon avis Korben que le plus gros que tu as à craindre c’est bien les refresh abusifs.

En parlant de ça je me demande toujours pourquoi les petits crack chinois ou l’armée hadopi ne t’as pas mis au silence !

Liberté quand tu nous tiens.

table persist <blaireaux> file « /etc/blaireaux.ips »
block in quick from <blaireaux>

http://www.openbsd.org/faq/pf/fr/index.html

« Il faudra alors simplement collecter quelques preuves (piratage ou diffamation) et aller porter plainte chez votre contractuelle la plus proche ))) » : concrètement, il faut faire quoi, à part un mail à abuse de l’ISP du mec ?
Parceque je suis déjà allé au commisariat pour porter plainte contre un guignol qui essayait de me flooder, et ils en ont rien à foutre.
Même chose pour un petit con qui volaient des données et les repostait ailleurs, ils ne veulent pas prendre la plainte et je en sais pas où me diriger (pour ce dernier cas, ayant le nom du mec, je me suis arrangé tout seul….

http://doc.ubuntu-fr.org/denyhosts

simple et efficace, impressionnant le nombre d’attaque par jour alors que mon serveur ne fait rien (mail et client mldonkey )

[1] : http://ipset.netfilter.org/ipset.man.html

Merci de la réponse.

Korben +1 !

Pour le http c’est possible avec fail2ban
il y as aussi modsecurity en complément pour apache qui permet de créer des règles sur les requêtes http (une grosse base et disponible sur leur site) et qui agis en conséquence (ban ou autre sur des tentatives d’sql injection & co )
sa limite encore un peu plus pour celui qui veut vraiment sécuriser sur tout les fronts sont serveur

ah bon lol

Iptables :
question qui m’intéresse , le fichier /etc/sysconfig/iptables existe pas sous bounetou ?
sur fedora et redhat à l’installation tu précises les ports que tu veux laisser ouvert, et pas défaut iptables est installés, le service est active, et le fichier des regles c’est /etc/sysconfig/iptables.
suffit donc de le modifier, de faire des service iptables reload pour prendre en compte, et ça conserve donc la config au reboot. c’est propre, pas de iprestore ou autre truc qu i dépasse. zetes sur kya pas un truc équivalent sous bounetou ?

*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state –state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m state –state NEW -m tcp -p tcp -s 94.23.0.19/32 –dport 22 -j ACCEPT
-A INPUT -j REJECT –reject-with icmp-host-prohibited
-A FORWARD -j REJECT –reject-with icmp-host-prohibited
COMMIT

Longue vie !