Re: Bloquer une plage d'adresses IP avec Fail2ban et Nftables

[Pierre Malard <pierre.malard@teledetection.fr>]

Bonjour,

C’est une plaie récurrente mais tu peux avoir une aide via des listes d’IP/réseaux connus comme sur :

• https://www.openbl.org/lists/all.txt
• https://lists.blocklist.de/lists/all.txt
• https://rules.emergingthreats.net/blockrules/compromised-ips.txt
• https://rules.emergingthreats.net/fwrules/emerging-Block-IPs.txt
• …

(liste non exhaustive)

Tu peux y ajouter ta propre liste. Avec ton exemple 47.128, c’est un service amazon sur un masque de réseau classe B (47.128.0.0/16) qu’il faudrait blacklister. Il est vrai que ces gros fournisseurs d’accès sont peu regardants sur ce que tu fais derrière… Mais il faut savoir qu’il y a peut-être des bons dans ces mauvais.

Le principe c’est de concatérer les listes d’IP/Net de ces listes et les bloquer via « ipset ». ce qui bloque ces IPs au dessus de Fail2Ban en les bloquant définitivement.

Il y a aussi un petit Python très bien sur https://github.com/egrisel/ban-them. Il tient une petite base de données des IP à bloquer définitivement en se basant sur les récidives enregistrée par Fail2Ban (seuil basé sur 10 par défaut). C’est très bien sauf que maintenant les « pirates » sont plus malins en changeant régulièrement d’IP…

Et/ou s’appuyer sur des sites de RBL (https://www.dnsbl.info/dnsbl-list.php) en faisant référence à ces sites dans ta configuration SMTP. Le bloc du Debugo (https://blog.debugo.f) fourni une très bonne documentation sur la façon de configurer une service Postfix/Dovecot et ça peux t’aider (https://blog.debugo.fr/serveur-messagerie-complet-postfix-dovecot-ldap-rspamd/)

Courage

Le 30 sept. 2024 à 00:51, Bernard Bass <bernard.bass@visionduweb.com> a écrit :

Bonjour,

Je cherche un sysadmin à l'aise avec les IP et les masques de sous réseau, une partie que je digère très mal, pour identifier la plage IP de mon visiteur.

Mon serveur reçoit un bot toutes les deux minutes, qui se retrouve sur une page erreur 403.
Cela entraîne des logs, mais surtout, un mail à chaque visite de la page 403 (C'est le but souhaité avec la page personnalisée.)

Maintenant, j'aimerais pouvoir interdire à ce visiteur régulier de polluer mes logs et ma boîte mail.
Le soucis, c'est qu'il visite le site avec la même IP, deux fois, puis, il change d'IP.

Voilà les IP listées pour exemple :

Bloquer une plage d'adresse IP avec Fail2ban et Nftables.

Une seule IP	Deux IP	Deux IP	Deux IP	Deux IP	Deux IP	Trois IP
147.185.133.97	47.128.25.253	47.128.112.206	47.128.21.18	47.128.51.45	47.128.126.24
47.128.117.162	47.128.41.49	47.128.123.15	47.128.47.113	47.128.53.22	47.128.117.142
	47.128.41.134	47.128.99.77	47.128.54.44	47.128.127.131	47.128.48.80
	47.128.54.40	47.128.44.78	47.128.56.179	47.128.54.65	47.128.56.182
	47.128.51.59	47.128.35.68	47.128.38.83
	47.128.45.115	47.128.112.189
	47.128.41.185
	47.128.45.110
	47.128.98.3
	47.128.112.255

 Pouvez vous me donner votre avis, si il est possible de définir une plage IP à bloquer, et, si oui, comment faire ?

Passer la tolérance de Fail2ban de 3 erreurs à 2 erreurs me semble trop radical, cela pourrait bloquer un visiteur légitime pour peu qu'il fasse 2 fois la même fausse manip qui pourrait l'envoyer vers une page 403. Il subirait alors un ban, ce n'est pas ce que je cherche.

J'aimerais comprendre pourquoi c'est ce type d'IP 47.128.xx.xx qui ressort à chaque fois, et, si il est possible de définir une plage IP.

J'aimerais alors pouvoir interdire la consultation du serveur avec reject, et non pas drop, pour cette plage d'adresse IP.
Si je ne me trompe pas, avec drop, le serveur continue de répondre, et, redirige le visiteur interdit vers une page 403, donc, envoi d'un mail.
Avec reject le serveur ne répondra plus.

Pouvez vous me donner votre avis pour gérer ce visiteur ?

-- 

Pierre Malard

Responsable architectures système CDS DINAMIS/THEIA Montpellier

IRD - UMR Espace-Dev - UAR CPST - IR Data-Terra

Maison de la Télédétection

500 rue Jean-François Breton

34093 Montpellier Cx 5

France

Tél : +33 626 89 22 68

   « La vérité ne triomphe jamais, mais ses ennemis finissent

    toujours par mourir... »

                                                   Max Placnk (1858-1947)

   |\      _,,,---,,_

   /,`.-'`'    -.  ;-;;,_

  |,4-  ) )-,_. ,\ (  `'-'

 '---''(_/--'  `-'\_)   πr

perl -e '$_=q#: 3|\ 5_,3-3,2_: 3/,`.'"'"'`'"'"' 5-.  ;-;;,_:  |,A-  ) )-,_. ,\ (  `'"'"'-'"'"': '"'"'-3'"'"'2(_/--'"'"'  `-'"'"'\_): 24πr::#;y#:#\n#;s#(\D)(\d+)#$1x$2#ge;print'

- --> Ce message n’engage que son auteur <--

Attachment: signature.asc
Description: Message signed with OpenPGP