Forum debian-fr.org

Salut,

Mon pare-feu comporte actuellement 34 lignes de blocage. Combien de lignes est-il raisonnable d'admettre encore avant que le nombre de tentatives de connexion diminue ?

_________________
http://counter.li.org/cgi-bin/certificate.cgi/302199
Debian 3.3-6.slh1-aptosid (3.3-26)GT520 > nVidia 302.07 ==> Intel (I5) ~3GHz

http://aptosid-fr.org/

Salut Gérard,

Parles tu d'IP bloquées ?

_________________
Debianneux-Autodidacte . ^¿^ . sur les chemins de la connaissance et du libre ...

“ La première loi du libre et de tout hacker, au sens noble !!! Le partage de la connaissance ” ..
...“ Que la pique du peuple brise le sceptre des rois. ”

Salut,

?

_________________
Le wiki du forum! - Pastbin && service d'hébergement d'images
Référencement sous MsDos...

Tu mets quoi dans ces lignes ?
Raisonnable à quel point de vue ?

_________________
Pentium III 550 MHz, RAM 128 Mio, disque 4,3 Go. Debian Squeeze avec noyau Linux maison. On ne rit pas ! c'est mon nouveau serveur+routeur ADSL.

Re

@loreleil De la série IP donnée par whois quand un farceur essaye de se connecter sur aptosid-fr

@lol Cette commande est inconnue sur mon modem/routeur

@Pascal Raisonnable en delai (frein) et combien va-t-il falloir en rajouter pour que les tentatives de connexion diminuent et avant que le routeur ne me déclare "memory full"

_________________
http://counter.li.org/cgi-bin/certificate.cgi/302199
Debian 3.3-6.slh1-aptosid (3.3-26)GT520 > nVidia 302.07 ==> Intel (I5) ~3GHz

http://aptosid-fr.org/

Mathématiquement, pour diminuer les tentatives de 25%, il faudrait blacklister 25% de l'internet.

_________________
Pentium III 550 MHz, RAM 128 Mio, disque 4,3 Go. Debian Squeeze avec noyau Linux maison. On ne rit pas ! c'est mon nouveau serveur+routeur ADSL.

Et ça fait combien de millions, ça ?

_________________
"L'action est plus efficace que la polémique, mais plus rare."
"Pas de Droite, pas de Gauche mais "ailleurs et partout", "Franchouillard" et même pas honte !
Ricardo (1936-...)

Oui, la mise en liste noire d'IP est une course en avant sans fin.
Au mieux tu sais qui t'attaque; Au pire tu as affaire à des ip variables (99.99% des cas) et là, inutile de s'énerver pour rien...

_________________
Le wiki du forum! - Pastbin && service d'hébergement d'images
Référencement sous MsDos...

Re,



Il est tout de même remarquable que ce sont des IP de l'Europe de l'est qui sont largement majoritaires. Ne me demandez pas pourquoi

_________________
http://counter.li.org/cgi-bin/certificate.cgi/302199
Debian 3.3-6.slh1-aptosid (3.3-26)GT520 > nVidia 302.07 ==> Intel (I5) ~3GHz

http://aptosid-fr.org/

10% des ip qui "touchent" mon serveur sont ukrainiennes ou chinoises...
Tu pourrais faire un blocage par "nationalité". C'est plutôt efficace.

_________________
Le wiki du forum! - Pastbin && service d'hébergement d'images
Référencement sous MsDos...

Re,




Et pour mettre en place ceci, un truc dans ce genre ?

http://forum.ovh.com/showthread.php?t=36682
http://blogmotion.fr/systeme/bloquer-ac ... -pays-5387

Efficace ceci ?

_________________
Debianneux-Autodidacte . ^¿^ . sur les chemins de la connaissance et du libre ...

“ La première loi du libre et de tout hacker, au sens noble !!! Le partage de la connaissance ” ..
...“ Que la pique du peuple brise le sceptre des rois. ”

Surement...
Je n'avais pas pensé au fichier .htaccess. L'avantage est la simplicité de mise en place.
Il faut voir si ça ne ralenti pas trop l'accès au serveur.

_________________
Le wiki du forum! - Pastbin && service d'hébergement d'images
Référencement sous MsDos...

Un nullard comme moi accepterait volontiers un exemple Merci d'avance !

_________________
http://counter.li.org/cgi-bin/certificate.cgi/302199
Debian 3.3-6.slh1-aptosid (3.3-26)GT520 > nVidia 302.07 ==> Intel (I5) ~3GHz

http://aptosid-fr.org/

Salut,

Tu va ici: http://www.countryipblocks.net/country- ... ny-format/
Tu clique sur un pays, tu copie/colle la liste d'IP dans le .htaccess de ton site, tu sauvegarde, c'est tout

_________________
Le wiki du forum! - Pastbin && service d'hébergement d'images
Référencement sous MsDos...

Quand on voit la taille de la liste pour un seul pays, çà ne parait pas sérieux si l'on pense à bannir quelques "Républiques Démocratiques"

_________________
http://counter.li.org/cgi-bin/certificate.cgi/302199
Debian 3.3-6.slh1-aptosid (3.3-26)GT520 > nVidia 302.07 ==> Intel (I5) ~3GHz

http://aptosid-fr.org/

Re,




Et je l'injecte où cette liste qui n'en finit pas ? J'ai déjà eu du mal à trouver où ils cachent leur .htaccess (pas dans var ni dans www )

_________________
http://counter.li.org/cgi-bin/certificate.cgi/302199
Debian 3.3-6.slh1-aptosid (3.3-26)GT520 > nVidia 302.07 ==> Intel (I5) ~3GHz

http://aptosid-fr.org/

Salut,




Ouais, effectivement j'ai vu ça également, bloquer un pays un continent, des milliers de lignes à intégrer dans mon script iptables, dur dur!

Autre solution possible. Sur ce coup, l'avis de Pascal serait apprécier ...

Dans mon cas, j'ai des IP made in KOREA qui chatouille mon dédié depuis plus d'un mois.

Pour l'une d'elles à titre d'exemple (219.254.35.83), voici les info que je peux recueillir.


* Sur le site : http://www.countryipblocks.net/tools/search-ips/




* Avec ipcalc.



* Avec dig.



Les règles applicables ... peut être ...


En me référant à ipcalc.



En me référant au site.




Où ...




Où encore Re-router les trames émises par ces blocks d'IP made in KOREA sur mon serveur, vers par exemple l'une des IP de google.





Lequel est le plus juste pour déterminer les blocks IP ? le site où ipcalc ?

Pourquoi cette différence de block ?

Quel règle serait la plus approprier ?

Pascal, qu'en dis tu ? ...

_________________
Debianneux-Autodidacte . ^¿^ . sur les chemins de la connaissance et du libre ...

“ La première loi du libre et de tout hacker, au sens noble !!! Le partage de la connaissance ” ..
...“ Que la pique du peuple brise le sceptre des rois. ”

ipcalc ne fait que calculer en fonction des infos que tu lui donnes :

Clairement le site est bien plus fiable. Encore plus fiable : un bête whois grâce auquel tu obtiens deux réseaux possibles : 219.254.0.0/15 (qui appartient à KRNIC, le registrar coréen équivalent à notre AFNIC) ou bien 219.254.24.0/19 (qui appartient à HanaNet, un FAI).


Quelle drôle d'idée, ça te bouffe de la bande passante pour rien (tu relayes les paquets dans un sens puis dans l'autre) et tu ne fais que polluer le réseau. En plus, c'est ton IP qui apparaît chez Google, pas de chance pour toi s'ils en profitent pour faire un truc pas catholique.

Quant aux deux autres règles (subnet / ip-range), je suis pas certain qu'il y ait grande différence en pratique. Cela dit le subnet n'a pas besoin de charger un module supplémentaire, mais c'est du détail sans grosse importance.

_________________
testing/unstable (amd64) sous KDE4
https://github.com/syam44

La sortie d'ipcalc n'a aucun intérêt ici. Il applique par défaut la longueur de préfixe de la classe de l'adresse fournie. Or tout le monde sait (non ? il serait temps, pourtant) que les classes sont abandonnées depuis plus de 15 ans pour les adresses unicast. Cela fait donc belle lurette qu'on ne peut plus déduire la longueur du préfixe à partir de la valeur de l'adresse comme on le faisait du temps des classes. Ce n'est pas pour rien qu'on accole systématiquement le masque ou la longueur du préfixe, ce qui revient au même.
Comme l'a dit syam, c'est le whois du registre concerné (ici, l'APNIC) qui fait foi.


Marchera pas : cela n'affecte que les communications sortantes émises par ta machine, pas les réponses aux communications entrantes. Quand bien même, quel serait l'intérêt à part pourrir encore un peu plus ton upload et l'internet ?

_________________
Pentium III 550 MHz, RAM 128 Mio, disque 4,3 Go. Debian Squeeze avec noyau Linux maison. On ne rit pas ! c'est mon nouveau serveur+routeur ADSL.

C'est toi qui donne l'idée, tu n'es même pas allé voir ?
Il ne s'agit pas d'iptables, mais de .htaccess.

Je précisais, que je ne savais pas si ça ralentissait le serveur Web.
Probablement un peu, encore faut-il savoir précisément de quel ordre est ce ralentissement.

En tout cas, ça ne coute pas grand chose de copier/coller une liste dans un fichier .htaccess...

_________________
Le wiki du forum! - Pastbin && service d'hébergement d'images
Référencement sous MsDos...

Pour avoir banni de cette manière Ukraine, Russia et Malaysia je me retrouve avec 8879 lignes dans .htaccess

_________________
http://counter.li.org/cgi-bin/certificate.cgi/302199
Debian 3.3-6.slh1-aptosid (3.3-26)GT520 > nVidia 302.07 ==> Intel (I5) ~3GHz

http://aptosid-fr.org/

Un ralentissement notable ?
Je ne sais pas trop comment faire des tests de vitesse sur un serveur Web...

_________________
Le wiki du forum! - Pastbin && service d'hébergement d'images
Référencement sous MsDos...

Re,

Pour l'instant je n'ai pas l'impression d'un ralentissement et pourtant mon site n'est pas abrité sur une bête de course (128 Mo) et un processeur de même acabit

_________________
http://counter.li.org/cgi-bin/certificate.cgi/302199
Debian 3.3-6.slh1-aptosid (3.3-26)GT520 > nVidia 302.07 ==> Intel (I5) ~3GHz

http://aptosid-fr.org/

J'ai oublié de mentionner une solution possible pour gérer dynamiquement de grandes quantités d'adresses ou blocs dans iptables sans générer un nombre important de règles : ipset. Pour l'utiliser il faut compiler le module du noyau correspondant à partir du paquet ipset-source.

_________________
Pentium III 550 MHz, RAM 128 Mio, disque 4,3 Go. Debian Squeeze avec noyau Linux maison. On ne rit pas ! c'est mon nouveau serveur+routeur ADSL.

Salut,


Hum... Comment ça se fait ça ?
Il ne suffit pas d'installer ipset-source ?

Edit: module-assistant ou make-kpkg ?

_________________
Le wiki du forum! - Pastbin && service d'hébergement d'images
Référencement sous MsDos...