Re: Bloquer une plage d'adresses IP avec Fail2ban et Nftables
probleme de certificat / places chez les spam (2 messages pierre ballard)
Le 30 sept. 2024 à 07:46, Pierre Malard <pierre.malard@teledetection.fr> a écrit :Bonjour,
C’est une plaie récurrente mais tu peux avoir une aide via des listes d’IP/réseaux connus comme sur :
https://www.openbl.org/lists/all.txthttps://lists.blocklist.de/lists/all.txthttps://rules.emergingthreats.net/blockrules/compromised-ips.txthttps://rules.emergingthreats.net/fwrules/emerging-Block-IPs.txt…;
(liste non exhaustive)
Tu peux y ajouter ta propre liste. Avec ton exemple 47.128, c’est un service amazon sur un masque de réseau classe B (47.128.0.0/16) qu’il faudrait blacklister. Il est vrai que ces gros fournisseurs d’accès sont peu regardants sur ce que tu fais derrière… Mais il faut savoir qu’il y a peut-être des bons dans ces mauvais.
Le principe c’est de concatérer les listes d’IP/Net de ces listes et les bloquer via « ipset ». ce qui bloque ces IPs au dessus de Fail2Ban en les bloquant définitivement.
Il y a aussi un petit Python très bien sur https://github.com/egrisel/ban-them. Il tient une petite base de données des IP à bloquer définitivement en se basant sur les récidives enregistrée par Fail2Ban (seuil basé sur 10 par défaut). C’est très bien sauf que maintenant les « pirates » sont plus malins en changeant régulièrement d’IP…
Et/ou s’appuyer sur des sites de RBL (https://www.dnsbl.info/dnsbl-list.php) en faisant référence à ces sites dans ta configuration SMTP. Le bloc du Debugo (https://blog.debugo.f) fourni une très bonne documentation sur la façon de configurer une service Postfix/Dovecot et ça peux t’aider (https://blog.debugo.fr/serveur-messagerie-complet-postfix-dovecot-ldap-rspamd/)
Courage
Le 30 sept. 2024 à 00:51, Bernard Bass <bernard.bass@visionduweb.com> a écrit :
Bonjour,
Je cherche un sysadmin à l'aise avec les IP et les masques de sous réseau, une partie que je digère très mal, pour identifier la plage IP de mon visiteur.
Mon serveur reçoit un bot toutes les deux minutes, qui se retrouve sur une page erreur 403.
Cela entraîne des logs, mais surtout, un mail à chaque visite de la page 403 (C'est le but souhaité avec la page personnalisée.)
Maintenant, j'aimerais pouvoir interdire à ce visiteur régulier de polluer mes logs et ma boîte mail.
Le soucis, c'est qu'il visite le site avec la même IP, deux fois, puis, il change d'IP.
Voilà les IP listées pour exemple :
Bloquer une plage d'adresse IP avec Fail2ban et Nftables. Une seule IP Deux IP Deux IP Deux IP Deux IP Deux IP Trois IP 147.185.133.97 47.128.25.253 47.128.112.206 47.128.21.18 47.128.51.45 47.128.126.24 47.128.117.162 47.128.41.49 47.128.123.15 47.128.47.113 47.128.53.22 47.128.117.142 47.128.41.134 47.128.99.77 47.128.54.44 47.128.127.131 47.128.48.80 47.128.54.40 47.128.44.78 47.128.56.179 47.128.54.65 47.128.56.182 47.128.51.59 47.128.35.68 47.128.38.83 47.128.45.115 47.128.112.189 47.128.41.185 47.128.45.110 47.128.98.3 47.128.112.255
Pouvez vous me donner votre avis, si il est possible de définir une plage IP à bloquer, et, si oui, comment faire ?
Passer la tolérance de Fail2ban de 3 erreurs à 2 erreurs me semble trop radical, cela pourrait bloquer un visiteur légitime pour peu qu'il fasse 2 fois la même fausse manip qui pourrait l'envoyer vers une page 403. Il subirait alors un ban, ce n'est pas ce que je cherche.
J'aimerais comprendre pourquoi c'est ce type d'IP 47.128.xx.xx qui ressort à chaque fois, et, si il est possible de définir une plage IP.
J'aimerais alors pouvoir interdire la consultation du serveur avec reject, et non pas drop, pour cette plage d'adresse IP.
Si je ne me trompe pas, avec drop, le serveur continue de répondre, et, redirige le visiteur interdit vers une page 403, donc, envoi d'un mail.
Avec reject le serveur ne répondra plus.
Pouvez vous me donner votre avis pour gérer ce visiteur ?
--
Pierre Malard
Responsable architectures système CDS DINAMIS/THEIA Montpellier
IRD - UMR Espace-Dev - UAR CPST - IR Data-Terra
Maison de la Télédétection
500 rue Jean-François Breton
34093 Montpellier Cx 5
France
Tél : +33 626 89 22 68
« La vérité ne triomphe jamais, mais ses ennemis finissent
toujours par mourir... »
Max Placnk (1858-1947)
|\ _,,,---,,_
/,`.-'`' -. ;-;;,_
|,4- ) )-,_. ,\ ( `'-'
'---''(_/--' `-'\_) πr
perl -e '$_=q#: 3|\ 5_,3-3,2_: 3/,`.'"'"'`'"'"' 5-. ;-;;,_: |,A- ) )-,_. ,\ ( `'"'"'-'"'"': '"'"'-3'"'"'2(_/--'"'"' `-'"'"'\_): 24πr::#;y#:#\n#;s#(\D)(\d+)#$1x$2#ge;print'
- --> Ce message n’engage que son auteur <--
--
Sent with https://mailfence.com
Secure and private email
Reply to: