Surveillance des connexions VPS

Guide pour monitorer les connexions réseau sur un VPS Ubuntu.

Cadre : ce VPS est un environnement de développement/test et, à terme, de vitrine professionnelle. Il n'héberge aucune donnée de tiers ni donnée personnelle sensible au-delà du compte de l'auteur. Les valeurs ci-dessous (IP, ports applicatifs) sont génériques (<IP_VPS>, <PORT_APP>…) : ce sont des exemples de sortie, pas des coordonnées réelles.

Lister les connexions actives

# Toutes connexions TCP/UDP
ss -tunap

# Connexions TCP uniquement
ss -tap

# Ports en écoute
ss -tuln

États des connexions (States)

Ports courants

Ports découverts sur le VPS Codexia

Connexions sortantes actives

# Connexions établies vers l'extérieur
ss -tnp | grep ESTAB

Connexions Codexia observées

• 127.0.0.1:3306 ↔ <PORT_EPHEMERE> → MySQL local (PHP)
• <IP_VPS>:<PORT_APP> ↔ <IP_DISTANTE>:<PORT_EPHEMERE> → Service Codexia
• Connexions IPv6 actives

Sécuriser avec Fail2ban

Installation

sudo apt install fail2ban
sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local

Configuration SSH

# /etc/fail2ban/jail.local
[sshd]
enabled = true
port = ssh
filter = sshd
logpath = /var/log/auth.log
maxretry = 3
bantime = 3600

Démarrage

sudo systemctl enable fail2ban
sudo systemctl start fail2ban
sudo fail2ban-client status

Commandes utiles

# Voir les jails actives
sudo fail2ban-client status

# Voir les IPs bannies
sudo iptables -L -n

# Bannir une IP
sudo fail2ban-client set sshd banip <IP_A_BANNIR>

# Débannir une IP
sudo fail2ban-client set sshd unbanip <IP_A_BANNIR>

Analyser les connexions suspectes

Identifier les nombreuses connexions SYN-RECV

# Compter les connexions par état
ss -tan | awk '{print $1}' | sort | uniq -c

# voir les IPs avec beaucoup de connexions
ss -tn | grep :80 | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -rn

Bloquer une IP

sudo iptables -A INPUT -s <IP_A_BLOQUER> -j DROP