Un truc qui me chiffonnait depuis quelques temps, c’est ce genre de message dans logwatch :
5 Time(s): TCP: Peer 212.195.105.120:46123/59866 unexpectedly shrunk window 2046424326:2046425866 (repaired) 7 Time(s): TCP: Peer 212.195.105.120:46123/59866 unexpectedly shrunk window 2046938246:2046939874 (repaired)
Mais qu’est ce que c’est que ce truc ?
Je sais pas trop ce que veut dire ce message, mais je sais que ça fait ralentir le serveur.
Comment fixer ce problème ?
Grâce à l’outil fail2ban, et à une règle personnalisée.
Commençons par créer le fichier /etc/fail2ban/filter.d/shrunk-window.conf , qui contient les paramètres suivants :
[Definition] failregex = TCP\: Peer\:.* unexpectedly shrunk window.*repaired+ ignoreregex =
Puis, on ajoute le scripts que l’on vient de créer aux paramétrage de fail2ban en éditant le fichier /etc/fail2ban/jail.conf :
[shrunk-window] enabled = true filter = shrunk-window logpath = /var/log/kern.log port = all banaction= iptables-allports port = anyport maxretry = 1
Redémarrer fail2ban
/etc/init.d/fail2ban restart
Enfin, pour le prochain rapport de logwatch, vous remarquerez l’efficience de ces modifications :
Banned services with Fail2Ban: Bans:Unbans shrunk-window: [ 19:19 ]
Mots-clefs : fail2ban, logwatch, Unexpectedly shrunk window
Salut,
Je viens de rencontrer le problème, mais j’ai modifier ton :
failregex = TCP\: Peer \:.* unexpectedly shrunk window.*repaired+
par
failregex = TCP\: Peer \: \:.* unexpectedly shrunk window.*repaired+
Le est obligatoire sur ma version (Debian), sinon tu as le message suivant :
fail2ban.filter : ERROR No ‘host’ group in ‘kernel\:.* TCP\: Peer \:.* unexpectedly shrunk window.*repaired+’
En espérant que ça aide du monde.
mauvais copier/coller, mon failregex est :
failregex = TCP\: Peer \: \:.* unexpectedly shrunk window.*repaired+