hs iptables et reverse dns

Le
prego jérémy
bonjour,

je pense que c'est une question qui à surment été parlé 100 fois =
mais je
trouve rien sur google
donc de façon clair, est-ce possible de banir les ips contenant toute=

le même reverse ? par exemple, faire une règle qui dis toute les ip c=
e
terminant par rev.sfr.net sont banis d'office ?

merci,

jeremy

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/509A9A6A.2010902@prego-network.net
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Stephane Bortzmeyer
Le #24944472
On Wed, Nov 07, 2012 at 06:29:14PM +0100,
prego jérémy a message of 23 lines which said:

donc de façon clair, est-ce possible de banir les ips contenant
toute le même reverse ? par exemple, faire une règle qui dis toute
les ip ce terminant par rev.sfr.net sont banis d'office ?



Cela me semble très dangereux, car cela signifie une requête DNS par
paquet, avec les lenteurs et timeouts associés. Pire, la seule requête
PTR n'offre aucune sécurité car le gérant d'une adresse IP peut mettre
le "reverse" qu'il veut.

En fouillant les archives des listes Netfilter, je ne trouve aucun
module qui permette de faire cela.

Ce message fournit une intéressante solution alternative :

http://www.spinics.net/lists/netfilter/msg15915.html

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
mouss
Le #24951112
Le 07/11/2012 21:50, Stephane Bortzmeyer a écrit :
On Wed, Nov 07, 2012 at 06:29:14PM +0100,
prego jérémy a message of 23 lines which said:

donc de façon clair, est-ce possible de banir les ips contenant
toute le même reverse ? par exemple, faire une règle qui dis toute
les ip ce terminant par rev.sfr.net sont banis d'office ?



Cela me semble très dangereux, car cela signifie une requête DNS par
paquet, avec les lenteurs et timeouts associés.



et en particulier: DoS.

Pire, la seule requête
PTR n'offre aucune sécurité car le gérant d'une adresse IP peut mettre
le "reverse" qu'il veut.




en plus, ce genre d'approche encouragerait à ne pas mettre de reverse dns.

En fouillant les archives des listes Netfilter, je ne trouve aucun
module qui permette de faire cela.

Ce message fournit une intéressante solution alternative :

http://www.spinics.net/lists/netfilter/msg15915.html




si je comprends, Jérémy veut bloquer un espace d'adresses
"résidentielles", comme "*.2.0.192.rev.sfr.net". Effectivement le whois
plus des requêtes dns (faites en avance, et non en temps réel!) peut
aider, même si c'est laborieux. et encore, on n'a pas besoin de dns pour
ici!


par exemple: prenons l'IP 86.70.1.1. son "reverse" est
1.1.70.86.rev.sfr.net, donc ça correspond bien au suffixe que Jérémy
voudrait bloquer (c'est juste un exemple).

$ whois 86.70.1.1
...
inetnum: 86.70.0.0 - 86.70.255.255
netname: N9UF-DYN-DSL
descr: Dynamic pools
...

en gros, ça indique le bloc 86.70.0.0 - 86.70.255.255 serait alloué
dynamiquement... On tente alors quelques requêtes dns pour confirmer
que les IPs ont un reverse dans la zone rev.sfr.net. pas la peine de
résoudre toutes les IPs (256*256 IPs), on tente aux bouts et au milieu
au hasard. de toute façon, si je ne me trompe, Jérémy veut bloquer un
bloc "dynamique".



--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Bzzz
Le #24951092
On Sat, 10 Nov 2012 18:42:03 +0100
mouss

en gros, ça indique le bloc 86.70.0.0 - 86.70.255.255 serait allou é
dynamiquement... On tente alors quelques requêtes dns pour confirmer
que les IPs ont un reverse dans la zone rev.sfr.net. pas la peine de
résoudre toutes les IPs (256*256 IPs), on tente aux bouts et au mili eu
au hasard. de toute façon, si je ne me trompe, Jérémy veut bloquer un
bloc "dynamique".



Et c'est Tfacile à rejeter directement par le svr http (nginx):
# ministère intérieur
deny 193.252.228.0/24;

--
<s3th> je sens un manque de sexe la
<flo> non aucun rapport
<s3th> c'est ce que je dis

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Publicité
Poster une réponse
Anonyme