Re: hs iptables et reverse dns

[mouss <mouss@ml.netoyen.net>]

Le 07/11/2012 21:50, Stephane Bortzmeyer a écrit :
> On Wed, Nov 07, 2012 at 06:29:14PM +0100,
>  prego jérémy <jeremy@prego-network.net> wrote 
>  a message of 23 lines which said:
> 
>> donc de façon clair, est-ce possible de banir les ips contenant
>> toute le même reverse ? par exemple, faire une règle qui dis toute
>> les ip ce terminant par rev.sfr.net sont banis d'office ?
> 
> Cela me semble très dangereux, car cela signifie une requête DNS par
> paquet, avec les lenteurs et timeouts associés.

et en particulier: DoS.

> Pire, la seule requête
> PTR n'offre aucune sécurité car le gérant d'une adresse IP peut mettre
> le "reverse" qu'il veut.
> 

en plus, ce genre d'approche encouragerait à ne pas mettre de reverse dns.

> En fouillant les archives des listes Netfilter, je ne trouve aucun
> module qui permette de faire cela.
> 
> Ce message fournit une intéressante solution alternative :
> 
> http://www.spinics.net/lists/netfilter/msg15915.html
> 

si je comprends, Jérémy veut bloquer un espace d'adresses
"résidentielles", comme "*.2.0.192.rev.sfr.net". Effectivement le whois
plus des requêtes dns (faites en avance, et non en temps réel!) peut
aider, même si c'est laborieux. et encore, on n'a pas besoin de dns pour
ici!


par exemple: prenons l'IP 86.70.1.1. son "reverse" est
1.1.70.86.rev.sfr.net, donc ça correspond bien au suffixe que Jérémy
voudrait bloquer (c'est juste un exemple).

$ whois 86.70.1.1
...
inetnum:        86.70.0.0 - 86.70.255.255
netname:        N9UF-DYN-DSL
descr:          Dynamic pools
...

en gros, ça indique le bloc 86.70.0.0 - 86.70.255.255 serait alloué
dynamiquement...  On tente alors quelques requêtes dns pour confirmer
que les IPs ont un reverse dans la zone rev.sfr.net. pas la peine de
résoudre toutes les IPs (256*256 IPs), on tente aux bouts et au milieu
au hasard. de toute façon, si je ne me trompe, Jérémy veut bloquer un
bloc "dynamique".