[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: [IPTABLES] Comment lister les paquets rejetés ?

Le 07/06/14 à 18:16, Philippe Gras <ph.gras@worldonline.fr> a écrit :
PG> Pour ce qui est des 400, de certaines 404 et 403, je pense que tu  
PG> peux t'inspirer de ça:
PG> http://spamcleaner.org/fr/misc/w00tw00t.html
PG> 
PG> Je vais d'ailleurs le faire moi-même, parce que j'ai plein de  
PG> requêtes avec cette chaîne :

En quoi c'est gênant ?

Répondre à ce genre de requete avec une 404 coûtera bcp moins de ressources qu'une règle
iptables qui va analyser tous les paquets http.

Si vraiment ça dérange, ajouter une règle nginx (location ~ w00tw00t) pour écrire l'ip dans un
fichier tmp (sans passer par du php, avec echo dans nginx) et une tâche cron qui récupère les
listes pour les blacklister avec iptables et les recopier ailleurs pour les enlever au prochain
passage me parait plus efficace, mais j'ai jamais pris la peine de le faire malgré des milliers
de requetes comme ça par jour.

Même chose pour la dernière règle de la page, lancer une regex plus un algo pour les
paquets qui match me parait un gaspillage important, mieux vaudrait créer un vhost par défaut
qui va prendre les requetes directes sur l'ip (http://xxx.xxx.xxx.xxx/) pour bannir tout le
monde qui arrive là (faudrait être sûr que les googlebot & co lancent jamais ces requetes, pas
étudié la question car me sens pas concerné avec un varnish en frontal).

J'ai l'impression que ce genre de "protection" ne protège que des scripts kiddies assez
inoffensifs, les vrais méchants sont pas assez stupides pour se faire repérer avec des attaques
aussi connues.

-- 
Daniel

On croit mourir pour la patrie; on meurt pour des industriels.
Anatole France
Reply to: