[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: [IPTABLES] Comment lister les paquets rejetés ?




Le 9 juin 14 à 13:32, Daniel Caillibaud a écrit :

Le 07/06/14 à 18:16, Philippe Gras <ph.gras@worldonline.fr> a écrit :
PG> Pour ce qui est des 400, de certaines 404 et 403, je pense que tu  
PG> peux t'inspirer de ça:
PG> 
PG> Je vais d'ailleurs le faire moi-même, parce que j'ai plein de  
PG> requêtes avec cette chaîne :

En quoi c'est gênant ?

Répondre à ce genre de requete avec une 404 coûtera bcp moins de ressources qu'une règle
iptables qui va analyser tous les paquets http.

Ah, bon ? Je veux bien le croire, mais ça demande à être confirmé. Parce que si ce n'est pas
iptables qui analyse les paquets, c'est le serveur virtuel qui va le faire ensuite, non ? Donc le
résultat serait identique au niveau du temps d'attente, non ?

Si vraiment ça dérange, ajouter une règle nginx (location ~ w00tw00t) pour écrire l'ip dans un
fichier tmp (sans passer par du php, avec echo dans nginx) et une tâche cron qui récupère les
listes pour les blacklister avec iptables et les recopier ailleurs pour les enlever au prochain
passage me parait plus efficace, mais j'ai jamais pris la peine de le faire malgré des milliers
de requetes comme ça par jour.

Oui, ça me parait une bonne idée. Comment comparer la vitesse d'exécution des 2 règles ?

Même chose pour la dernière règle de la page, lancer une regex plus un algo pour les
paquets qui match me parait un gaspillage important, mieux vaudrait créer un vhost par défaut
qui va prendre les requetes directes sur l'ip (http://xxx.xxx.xxx.xxx/) pour bannir tout le
monde qui arrive là (faudrait être sûr que les googlebot & co lancent jamais ces requetes, pas
étudié la question car me sens pas concerné avec un varnish en frontal).

C'est déjà le cas chez moi. Je ne crois pas que les crawlers s'intéressent aux IP, je ne l'ai jamais
remarqué. Mais ça pourrait venir, on ne sait jamais…

J'ai l'impression que ce genre de "protection" ne protège que des scripts kiddies assez
inoffensifs, les vrais méchants sont pas assez stupides pour se faire repérer avec des attaques
aussi connues.

Je suis complètement d'accord avec cette assertion. Le problème, c'est que les script kiddies sont
très gourmands, et vraiment très envahissants.

J'aimerais bien réserver l'accès de mon serveur à des utilisateurs légitimes, car il est tout petit, pas
très costaud, donc le compromis est difficile à trouver entre une certaine tolérance avec les bots, et
une discrimination rigoureuse…

Ph. Gras

-- 
Daniel

On croit mourir pour la patrie; on meurt pour des industriels.
Anatole France

--
Lisez la FAQ de la liste avant de poser une question :

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org



Reply to: