iptable : Blacklister un pays grace aux IP

Le
Goldy
Bonjour,

J'aurais aimé savoir s'il était possible de configurer une règle dans
iptable pour interdire l'accès sur un port particulier du serveur aux
adresses IP de tout un pays donné.

En règle générale, ce genre de blocage est réalisé via un script
logiciel coté serveur et non pas intégré au firewall.

Je pense qu'il faudrait que j'arrive à me procurer les adressages en
fonction du pays que je souhaite bloquer mais je n'arrive pas à trouver ça.

Je pense qu'ajouter la règle ne sera pas un soucis (bien que je ne me
sois jamais servis d'iptable), c'est surtout savoir si c'est possible
techniquement.

Merci d'avance.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
mouss
Le #17432161
Goldy a écrit :
Bonjour,

J'aurais aimé savoir s'il était possible de configurer une règle dans
iptable pour interdire l'accès sur un port particulier du serveur aux
adresses IP de tout un pays donné.

En règle générale, ce genre de blocage est réalisé via un script
logiciel coté serveur et non pas intégré au firewall.

Je pense qu'il faudrait que j'arrive à me procurer les adressages en
fonction du pays que je souhaite bloquer mais je n'arrive pas à trouver ça.




y a geoip (existe en package). on peut convertir leur db en fichier
texte si on a le courage de faire un script (perl, python, ...).


Je pense qu'ajouter la règle ne sera pas un soucis (bien que je ne me
sois jamais servis d'iptable), c'est surtout savoir si c'est possible
techniquement



- les bases disponibles sont incomplètes
- la base de maxmind a un format un peu particulier, et il faut un
script pour la convertir en CIDR par exemple.
- ça risque de faire des tables énormes. il est probablement plus
pratique d'utiliser du routage (les router vers un "trou noir") au lieu
d'iptables.


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Goldy
Le #17432361
mouss a écrit :
Goldy a écrit :
Bonjour,

J'aurais aimé savoir s'il était possible de configurer une règle
dans iptable pour interdire l'accès sur un port particulier du
serveur aux adresses IP de tout un pays donné.

En règle générale, ce genre de blocage est réalisé via un script
logiciel coté serveur et non pas intégré au firewall.

Je pense qu'il faudrait que j'arrive à me procurer les adressages
en fonction du pays que je souhaite bloquer mais je n'arrive pas à
trouver ça.




y a geoip (existe en package). on peut convertir leur db en fichier
texte si on a le courage de faire un script (perl, python, ...).


Je pense qu'ajouter la règle ne sera pas un soucis (bien que je ne
me sois jamais servis d'iptable), c'est surtout savoir si c'est
possible techniquement



- les bases disponibles sont incomplètes - la base de maxmind a un
format un peu particulier, et il faut un script pour la convertir en
CIDR par exemple. - ça risque de faire des tables énormes. il est
probablement plus pratique d'utiliser du routage (les router vers un
"trou noir") au lieu d'iptables.





Merci pour ces infos, je pensais que les ip par pays étaient facilement
identifiables (genre 82.XXX.XXX.XXX pour la france) et que quelques
règles avec pas mal de jokers pouvaient parvenir à faire quelque chose
d'acceptable. De plus, il faudrait en permanence mettre à jours la
liste, s'il y avait une source officielle, (genre l'organisme chargé
d'attribuer les plages d'adresse aux pays) je pourrais écrire un script
qui le fasse automatiquement je pense, mais avec l'ipv6, ça risque de
devenir un enfer.




--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
mouss
Le #17433661
Goldy a écrit :
Merci pour ces infos, je pensais que les ip par pays étaient facilement
identifiables (genre 82.XXX.XXX.XXX pour la france) et que quelques
règles avec pas mal de jokers pouvaient parvenir à faire quelque chose
d'acceptable.



Non. les IPs sont allouées "comme on peut". ajouter une contrainte de
pays n'est pas justifiée (et en plus, on ne va pas renuméroter tout
internet pour s'y conformer).

De plus, il faudrait en permanence mettre à jours la
liste, s'il y avait une source officielle, (genre l'organisme chargé
d'attribuer les plages d'adresse aux pays) je pourrais écrire un script
qui le fasse automatiquement



Pas si facile. il faut récupérer les stats d'allocation un peu partout
(elles ne sont pas centralisées). y en a qui ont essayé, ... ;-p

je pense, mais avec l'ipv6, ça risque de
devenir un enfer.




C'est clair.


A un moment, je voulais faire ça pour bloquer ssh sauf de quelques pays.
Mais après refleskion, je me suis dit que ça ne valait pas la peine. de
toute façon, les méchants ne viennent pas directement: ils rebondissent
via d'autres machines. Et je ne connais pas les stats sur les "zombies"
par pays, mais je pense qu'on en a suffisamment chez nous pour rendre
toute tentative de "protectionnisme" illusoire et inutile.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Stephane Bortzmeyer
Le #17440801
On Mon, Oct 06, 2008 at 09:46:54AM +0200,
mouss a message of 40 lines which said:

Mais après refleskion, je me suis dit que ça ne valait pas la
peine. de toute façon, les méchants ne viennent pas directement: ils
rebondissent via d'autres machines. Et je ne connais pas les stats
sur les "zombies" par pays,



Oui, c'est surtout pour cela que les règles « par pays » sont
absurdes.

Pour les statistiques des zombies par pays :

http://www.secureworks.com/media/press_releases/20080922-attacks/

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Goldy
Le #17442471
Stephane Bortzmeyer a écrit :
On Mon, Oct 06, 2008 at 09:46:54AM +0200, mouss wrote a message of 40 lines which said:

Mais après refleskion, je me suis dit que ça ne valait pas la
peine. de toute façon, les méchants ne viennent pas directement:
ils rebondissent via d'autres machines. Et je ne connais pas les
stats sur les "zombies" par pays,



Oui, c'est surtout pour cela que les règles « par pays » sont
absurdes.

Pour les statistiques des zombies par pays :

http://www.secureworks.com/media/press_releases/20080922-attacks/




Sans rentrer dans les détails de l'application que je voulais en tirer,
je souhaitais expérimenter une couche de sécurité supplémentaire pour
les systèmes d'échanges anonymes tel que freenet et gnunet. L'idée était
que si on interdit les échanges avec les adresses IP des utilisateurs du
même pays que dans lequel l'utilisateur se trouve, alors on réduit les
risques d'oppressions des utilisateurs, mais c'était purement théorique,
et visiblement impossible à garantir pour l'utilisateur final, donc
l'idée est à jeter.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Publicité
Poster une réponse
Anonyme