Existance d'une blacklist "officiel"

Bonjour à toutes et tous,

Voila je me prends toujours un peu la tête avec iptables (enfin pas qu’un peu )

Et je voulais savoir si quelque part sur le net etait repertoriée une liste d’adresse ip qu’il serait interessant de blacklister. Comme mon petit script d’initialisation d’iptable gère une blacklist autant l’utiliser.

Avant de venir vous voir j’ai quand même parcouru mon ami google mais je n’ai rien trouvé de fort interessant, j’avoue je n’en suis qu’a la 14eme page de google et j’ai un peu du mal pour le moment.

Je vais me faire une petite pause café et je reprends les recherches, si jamais en attendant quelqu’un à un ti lien interessant je suis preneur

PS: pour info j’ai trouver un petit script qui recupere les ip de la liste de peerguardian, le soucis c’est que je n’ai pas trouvé sur le site de peerguardian cette liste, mais je vais encore cherché.

Merci d’avance. bonne fin de journée ou peut etre à toute

slt,

je sais pas si ca peut t’aider pettingers.org/code/code.html

HUmmm cela semble etre un site fort interessant je pense que je vais prendre plaisir à le lire

Me restera plus qu’a trouver une tite liste d’ip à bloquer en preventif on va dire

Merci stonfi

Salut !

Tu mets quoi comme règle pour blacklister ?

Je peux te filer toutes les ip des domaines qui m’ont fait des attaques mais même en excluant les tentatives à 2 fr 50, ça fait 6 pieds de long et c’est très volatile ces petites choses-là

[quote=“Bluenote”]Salut !

Tu mets quoi comme règle pour blacklister ?

Je peux te filer toutes les ip des domaines qui m’ont fait des attaques mais même en excluant les tentatives à 2 fr 50, ça fait 6 pieds de long et c’est très volatile ces petites choses-là [/quote]

Ma regle est comment dire super simple (enfin je pense)

	for x in `grep -v ^# $BLACKLIST | awk '{print $1}'`; do
			iptables -A INPUT -t filter -s $x -j DROP
	done

En faite la variable $BLACKLIST est un fichier ou je stocke (sotckerais) les ip qui ne m’interesse pas.

Si tuveux voir la tete de mon script il est la, j’ai apporté quelques modification je mettrais à jour au fur et a mesure de son avancée

Donc oui si tu veux bien je suis preneur pour ta liste

Attention, a chaque fois que vous insérez une ligne dans iptables avec la commande iptables, toute la table est recalculée, donc plus elle est énorme, plus c’est lent.

Si vous constatez des problemes de lenteur, c’est tout a fais normal, et ça sera corrigé dans une prochiane version de netfilter … (dans quelques mois si je me souviens bien)

Ceci dit, blacklister des ip pour quoi faire ?
De toute façon vous n’êtes a priori pas vulnérable, si ?

Oui, de toute façon, je n’ai vu qu’assez rarement une ip revenir à l’attaque (2-3 fois maximum dans la même semaine)

Par contre, tarlak, si tu peux il vaut mieux voir en direct ce qui se passe (au moins au début). Et boucher les trous s’il y en a.

Qt à la parade immédiate : débrancher le câble réseau.

Intéressant ton script (même si je n’ai pas tout compris) ça va alléger ma syntaxe… Qu’est-ce que c’est $1 ??

[quote=“ed”]Attention, a chaque fois que vous insérez une ligne dans iptables avec la commande iptables, toute la table est recalculée, donc plus elle est énorme, plus c’est lent.

Si vous constatez des problemes de lenteur, c’est tout a fais normal, et ça sera corrigé dans une prochiane version de netfilter … (dans quelques mois si je me souviens bien)

Ceci dit, blacklister des ip pour quoi faire ?
De toute façon vous n’êtes a priori pas vulnérable, si ?[/quote]

Les vous parlez au demarrage? ou alors à l’utilisation ?

Pourquoi faire? bonne question lol je pensais qu’il etait utile de blacklister des ip, du moins celle qui revenais regulierement, mais bon si ca ne sert a rien je veux bien le supprimer, je ne m’y connais pas en securité reseau.
Generalement moi c’est je coupe l’acces a tout les port et j’ouvres que ce dont j’ai besoin.

Apres les chose genre ipspoofing c’est un peu de l’art abstrait pour moi

Je ne suis pas vulnerable?? heuu ben si non ? on l’est tous un peu ?lol

[quote=“Bluenote”]Oui, de toute façon, je n’ai vu qu’assez rarement une ip revenir à l’attaque (2-3 fois maximum dans la même semaine)

Par contre, tarlak, si tu peux il vaut mieux voir en direct ce qui se passe (au moins au début). Et boucher les trous s’il y en a.

Qt à la parade immédiate : débrancher le câble réseau.

Intéressant ton script (même si je n’ai pas tout compris) ça va alléger ma syntaxe… Qu’est-ce que c’est $1 ??[/quote]

Oui je veux bien voir au debut ce qui ce passe, le soucis c’est comment voir ce qui ce passe, certe je log avec ceci :

mais apres comprende le message de log c’est autre chose lol, mais ca va venir pas de soucis

pour le $1 tu parle du quel ?
si c’est pour

C’est simple c’est pour le parametre d’appel lors du lancement du script (start, stop, restart, status)

si c’est pour

Alors que je t’explique, la syntaxe de la black liste est comme ceci ;

232.123.212.211 #IP du pirate toto la fleur
123.123.123.123 #IP de mon controleur des impots 

Donc en fait ce que je fais sur chaque ligne je fais un grep qui recupere tous ce qui ne commence pas par # et avec awk j’imprime le dernier champs de chaque ligne à savoir l’ip.

Si jamais je me suis planter dans mes explication esité pas a corriger.

Sinon je viens de mettre mon script à jour avec mes dernières petites modifications.(ici)
Par contre le script n’est pas complet il manque deux fonction (log_begin_msg et log_end_msg) qui permettent d’afficher les messages

en fait, c’est au démarrage ET à chaque fois que tu affines en ajoutant une règle à la volée (c à d pas dans ton script d’init), que c’est long.
Mais le ralentissement arrive surtout quand on met en place des centaines de règles.
Par ailleurs, au démarrage, c’est beaucoup plus rapide de restorer l’état de ton pare feu avec iptables-restore que de faire l’ajout une à une des règles: chaque execution d’un iptables -A provoque un recalcul, alors qu’iptavbles-restore ne fait qu’un seul calcul.

Par ailleurs, ta stratègie est correcte: tout bloquer, et n’ouvrir que ce dont tu as besoin.

Si tu veux vraiment blacklister des IP, il y a un outil (fail2ban) qui permet d’en blacklister automatiquement en cas d’echec répèté de connection ssh (et dwebmin, aussi, je crois). Il y a aussi un module pam qui fait le même genre de chose, mais il est encore au stade experimental.
Sinon, blacklister “à priori” des IPs, ca me parait plutot inutile, AMHA.

Sinon, tu as vu cette contrib de Ricardo:
forum.debian-fr.org/viewtopic.php?t=1901

[quote=“MattOTop”]en fait, c’est au démarrage ET à chaque fois que tu affines en ajoutant une règle à la volée (c à d pas dans ton script d’init), que c’est long.
Mais le ralentissement arrive surtout quand on met en place des centaines de règles.
Par ailleurs, au démarrage, c’est beaucoup plus rapide de restorer l’état de ton pare feu avec iptables-restore que de faire l’ajout une à une des règles: chaque execution d’un iptables -A provoque un recalcul, alors qu’iptavbles-restore ne fait qu’un seul calcul.

Par ailleurs, ta stratègie est correcte: tout bloquer, et n’ouvrir que ce dont tu as besoin.

Si tu veux vraiment blacklister des IP, il y a un outil (fail2ban) qui permet d’en blacklister automatiquement en cas d’echec répèté de connection ssh (et dwebmin, aussi, je crois). Il y a aussi un module pam qui fait le même genre de chose, mais il est encore au stade experimental.
Sinon, blacklister “à priori” des IPs, ca me parait plutot inutile, AMHA.

Sinon, tu as vu cette contrib de Ricardo:
forum.debian-fr.org/viewtopic.php?t=1901[/quote]

OUi j’avais vu pour iptable qu’on peut save et restore, ce qui amene une question dans mon petit cerveau en manque de cafeine, est-ce utile pour un serveur, ce que je veux dire c’est a priori mon script se lencera au demarrage du serveur et c’est tout.

Bon ok si j’ajoute une regle la il recalcul tout, mais n’est-ce pas la meme chose si on fait un save avant, meme si on rajoute une regle il les recalcul toutes non ?( ma question peu paraitre con désolé mais je prefère etre sur)

SI j’ai rien compris vous pouvez me taper dessus ca rentrera plus facilement dans mon ciboulo.

Pour blacklister les ip j’avais aussi pensé que ca pouvais aider un antispam. Je m’explique. En blaclistant les ip reconnue de certain emetteur de spam j’avais penser que ca bloquerais direct le courier venant de ses ip, et donc que ca allegerais le boulo de l’antispam. Mais si je me trompe pas de soucis la blackliste je vire

Bon, le save/restore, c’est au moment du démarrage que ça peut être interressant sur un serveur: si tu veux que ton serveur soit le plus vite possible “up and running”, il faut bien évidemment accèlèrer le boot au maximum.
Même si un serveur ne passe pas l’essentiel de son temps à booter, heureusement.
Enfin AMA…

Ben j’espère pour ceux qui on un serveur qu’ils ne passent pas leur temps à le demarrer sinon ce n’es tlus un serveur lol.

Pour un serveur web (Apache), les logs des accès sont là :

/var/log/apache/access.log

les erreurs là :

/var/log/apache/error.log

Si tu as un serveur ssh, c’est réuni avec les autres connexions au système ici :

/var/log/auth.log

Si tu as Snort en mode NIDS, c’est là

/var/log/snort/alert

Moi je les consulte comme ça :

%tail -f [mon_log] &
…

ce qui me les affiche tous ensemble ‘en live’.

Merci pour ton script ‘blacklist’ je sens que je vais l’adopter. Comme je n’ai presque pas étudié la programmation dans mon cursus de physicien, toute chose nouvelle me parait exotique

slt,

Bluenote, ca depend (en génèral) oui ils sont dans /var/log{error,acces.referer.log} pour etre sur il faut regarder dans les fichiers de config de chaque daemon les variables en rapport avec les logs.

Oui pour mes log je sais ou aller ca pas de soucis j’ai fait une partition rien que pour eux

Mais ce que je voulais dire c’est plutot sur l’interpretation de ceux ci. Mais bon pour le moment je ne penses pas avoir etait attaqué je verais en temps voulus.

@bluenote : pas de soucis mon petit script n’est pas de moi je l’ai trouvé dans un bouquin
Par contre je suis assez contant de la partie whitelist

@stonfi : pour les log normalement on les configure pas dans etc/syslog.conf ? j’ai fais un tour dedans mais j’ai pas tout compris lol et dire que je vais bientôt envoyer les log de mon routeur vers ce serveur je penses que je vais me marrer lol