C’est toi qui donne l’idée, tu n’es même pas allé voir ?
Il ne s’agit pas d’iptables, mais de .htaccess.
Je précisais, que je ne savais pas si ça ralentissait le serveur Web.
Probablement un peu, encore faut-il savoir précisément de quel ordre est ce ralentissement.
En tout cas, ça ne coute pas grand chose de copier/coller une liste dans un fichier .htaccess…[/quote]
Pour avoir banni de cette manière Ukraine, Russia et Malaysia je me retrouve avec 8879 lignes dans .htaccess 
Un ralentissement notable ?
Je ne sais pas trop comment faire des tests de vitesse sur un serveur Web…
Re,
Pour l’instant je n’ai pas l’impression d’un ralentissement et pourtant mon site n’est pas abrité sur une bête de course (128 Mo) et un processeur de même acabit 
J’ai oublié de mentionner une solution possible pour gérer dynamiquement de grandes quantités d’adresses ou blocs dans iptables sans générer un nombre important de règles : ipset. Pour l’utiliser il faut compiler le module du noyau correspondant à partir du paquet ipset-source.
Salut,
Hum… Comment ça se fait ça ?
Il ne suffit pas d’installer ipset-source ?
Edit: module-assistant ou make-kpkg ?
Je ne sais pas, jamais fait. Mais je dirais module-assistant qui fait partie des dépendances. make-kpkg sert à construire un paquet contenant le noyau et ses modules internes, pas un module externe.
Merci, je vais faire un essai.
C’est agréable d’avoir l’option de ne pas surcharger les règles, ça devient vite illisible sinon.
Salut,
Ouais, mais whois chez moi n’est pas bavard …
:~$ whois 219.254.35.83
getaddrinfo(whois.nic.or.kr): Nom ou service inconnu
:~$ Nouveau fil à suivre … 
Faut croire que non! Mon premier abonnement internet date de la mi-Novembre 2009, c’est dire … 
Cette compilation est tel impérative ?
La compile et moi …
Pour l’heure, je n’ai pas trouvé grand chose sur son utilisation et mise en place, hormis ces liens.
en.wikipedia.org/wiki/Netfilter#ipset
ipset.netfilter.org/install.html
Merci pour vos explications … 
“tu n’es même pas allé voir ?” Tu me taquines là ? 
C’est avec iptables que je veux jongler … 
[quote=“loreleil”]Ouais, mais whois chez moi n’est pas bavard …
:~$ whois 219.254.35.83
getaddrinfo(whois.nic.or.kr): Nom ou service inconnu
:~$ Nouveau fil à suivre … [/quote]
Ben ouvre le, ce fil, qu’on puisse résoudre ton souci… 
Bizarre, chez moi ça marche.
Oui, à moins d’installer un noyau >= 2.6.39 qui inclut déjà le support d’ipset en standard, comme celui de Wheezy.
Très simple à installer ipset, mais à utiliser…
J’ai fait un essai:
Installation:
# apt-get install ipset ipset-source && m-a a-i ipsetCréation d’une règle:
# ipset -N block1 nethashCréation d’une liste d’IP (format CIDR)
# cat block1.list
...
223.255.0.0/17
223.255.236.0/22
223.255.252.0/23
Insertion de la liste dans la règle:
# while read ln; do ipset -A block1 $ln; done < block1.listEt enfin ajout d’une règle ipatbles:
# iptables -A INPUT -m set --set blok1 src -j DROPJ’aimerais bien une confirmation… Si PascalHambourg passe dans le coin ?
Du coup comment m’assurer que la liste est bien chargée ?
J’aimerais aussi une petite explication sur les options (si quelqu’un utilise ipset bien entendu… )
ipmap
macipmap
portmap
iphash
nethash
ipporthash
ipportiphash
ipportnethash
iptree
iptreemap
setlist
Salut,
Du nouveau concernant ipset …
[quote]Ipset est un outil Linux qui permet de stocker des adresses IP, des numéros de port, ou des adresses IP avec des Mac adresses associées. Il garantie des performances élevées pour la recherche de correspondances (matching) dans ces tables.
Ipset sera utile pour :
As tu installé xtables-addons-source ?
Salut,
[quote=“syam”]
Clairement le site est bien plus fiable. Encore plus fiable : un bête whois grâce auquel tu obtiens deux réseaux possibles : 219.254.0.0/15 (qui appartient à KRNIC, le registrar coréen équivalent à notre AFNIC) ou bien 219.254.24.0/19 (qui appartient à HanaNet, un FAI).[/quote]
Il semblerait que je n’obtienne pas tout à fait le même retour … ?
[code]:~$ whois 219.248.35.83
query: 219.248.35.83
조회하신 IPv4주소는 한국인터넷진흥원으로부터 아래의 관리대행자에게 할당되었으며, 할당 정보는 다음과 같습니다.
[ 네트워크 할당 정보 ]
IPv4주소 : 219.248.0.0 - 219.251.255.255 (/14)
서비스명 : broadNnet
기관명 : 에스케이브로드밴드주식회사
기관고유번호 : ORG3930
주소 : 서울 중구 남대문로5가 267번지 SK남산빌딩
우편번호 : 100-711
할당일자 : 20021218
[ IPv4주소 책임자 정보 ]
이름 : 관리자
전화번호 : +82-2-106-2
전자우편 : ip-adm@skbroadband.com
[ IPv4주소 담당자 정보 ]
이름 : 관리자
전화번호 : +82-2-106-2
전자우편 : ip-adm@skbroadband.com
[ 스팸 해킹 담당자 정보 ]
이름 : 관리자
전화번호 : +82-2-106-2
전자우편 : abuse@skbroadband.com
조회하신 IPv4주소는 위의 관리대행자로부터 아래의 사용자에게 할당되었으며, 할당 정보는 다음과 같습니다.
[ 네트워크 할당 정보 ]
IPv4주소 : 219.248.32.0 - 219.248.35.255 (/22)
네트워크 이름 : HANANET-INFRA
기관명 : 에스케이브로드밴드주식회사
기관고유번호 : ORG3930
주소 : 서울 중구 남대문로5가 267번지 SK남산빌딩
우편번호 : 100-711
할당내역 등록일 : 20041015
공개여부 : Y
[ 네트워크 담당자 정보 ]
이름 : 관리자
기관명 : broadNnet
주소 : 서울 중구 남대문로5가 267번지 SK남산빌딩
우편번호 : 100-711
전화번호 : +82-2-106-2
전자우편 : ip-adm@skbroadband.com
KRNIC is not an ISP but a National Internet Registry similar to APNIC.
[ Network Information ]
IPv4 Address : 219.248.0.0 - 219.251.255.255 (/14)
Service Name : broadNnet
Organization Name : SK Broadband Co Ltd
Organization ID : ORG3930
Address : 267, Seoul Namdaemunno 5(o)-ga Jung-gu SK NamsanGreen Bldg.
Zip Code : 100-711
Registration Date : 20021218
[ Admin Contact Information ]
Name : IP manager
Phone : +82-2-106-2
E-Mail : ip-adm@skbroadband.com
[ Tech Contact Information ]
Name : IP manager
Phone : +82-2-106-2
E-Mail : ip-adm@skbroadband.com
[ Network Abuse Contact Information ]
Name : manager
Phone : +82-2-106-2
E-Mail : abuse@skbroadband.com
More specific assignment information is as follows.
[ Network Information ]
IPv4 Address : 219.248.32.0 - 219.248.35.255 (/22)
Network Name : HANANET-INFRA
Organization Name : SK Broadband Co Ltd
Organization ID : ORG3930
Address : 267, Seoul Namdaemunno 5(o)-ga Jung-gu SK NamsanGreen Bldg.
Zip Code : 100-711
Registration Date : 20041015
Publishes : Y
[ Technical Contact Information ]
Name : IP manager
Organization Name : SK Broadband Co Ltd
Address : 267, Seoul Namdaemunno 5(o)-ga Jung-gu SK NamsanGreen Bldg.
Zip Code : 100-711
Phone : +82-2-106-2
E-Mail : ip-adm@skbroadband.com
:~$[/code]
Alors en pratique, aie je compris ?
Ici deux réseaux possibles.
219.248.0.0 la premier adresse du bocks (?) (/14)
219.251.255.255 la dernière de ce blocks (?) (/14)
219.248.32.0 la première adresse du blocks (?) (/22)
219.248.35.255 la dernière adresse du blocks (?) (/22)
Voilà, à présent si je souhaite bloquer ces deux réseaux 
et je le veux … alors je prends en référence (au format CDIR) ce qui donne :
219.248.0.0/14
219.248.32.0/22
J’ai tout bon … ? non 
Et une fois de plus, qu’est ce qui prévaut ?
Une recherche sur le site countryipblocks.net/tools/search-ips/ Où mon whois ?
ps: Merci à tous deux … pour mon Whois …
Salut,
Il semblerait qu’il faille s’y prendre de cette manière …
iptables -t raw -A PREROUTING -i eth0 -m set --match-set block1.list src -j DROP
iptables -t mangle -A POSTROUTING -o eth0 -m set --match-set block1.list dst -j DROP
:[code]~# ipset -n -s -L block1.list
Name: block1.list
Type: nethash
References: 2
Default binding:
Header: hashsize: 1024 probes: 4 resize: 50
Members:
219.248.32.0/22
219.248.0.0/14
Bindings:
:~# [/code]
Mais pour l’heure, je n’arrive pas à les faire apparaître clairement, tel que …
iptables -S
iptables -L --line-numbers
Je n’ai pas encore la bonne commande …
Notes:
iptables -A INPUT -m set --set blok1 src -j DROPMessieurs
pourquoi s’embêter avec des blacklists alors qu’il existe Fail2ban?
Ouaah c’est bien cool
Nous l’ignorions …
[size=50]merci pour l’info[/size] … 
Où as-tu vu cela ?
Les tables raw et mangle n’ont pas été conçues pour le filtrage. C’est le but de la table filter, comme son nom l’indique. En témoigne la cible REJECT qui n’est utilisable que dans la table filter. La table mangle sert aux manipulations de paquet autre que le NAT/PAT (marquage, TOS, MSS…). La table raw a été ajoutée spécialement pour pouvoir exclure des paquets du suivi de connexion, avec la cible spécifique NOTRACK.
Certes, je peux comprendre qu’on ait envie de filtrer les paquets le plus tôt possible pour économiser des ressources de traitement. Si un paquet est bloqué dans la table filter, alors il aura d’abord été (inutilement) traité par la table raw (si elle est active), le suivi de connexion (s’il est actif), les tables mangle et nat (si elles sont actives) et le routage IP.
Néanmoins je ne vois pas l’intérêt de filtrer juste avant la sortie, dans la chaîne POSTROUTING, puisque le paquet aura déjà tout traversé. Pour les paquets émis localement, il vaut mieux le faire dans la chaîne OUTPUT (de la table raw si on veut éviter qu’il soit traité par le suivi de connexion).
Parce que ces règles sont dans les tables raw et mangle alors que tes commandes n’affichent que la table par défaut (filter), contrairement à la commande iptables-save qui affiche par défaut toutes les tables actives.
Salut,
[quote=“agentsteel”]Messieurs
pourquoi s’embêter avec des blacklists alors qu’il existe Fail2ban?
[/quote]
J’utilise un modem/routeur à firewall intégré. Voudrais tu être assez aimable pour me dire comment je fais pour filtrer les importuns qui cherchent à squatter mon site où fail2ban n’est pas installable
j’imagine que ton site n’est pas hébergé sur ton modem/firewall?