Retour d'expérience sur la geo-localisation par iptables

Le
Olivier
--0000000000008845ca058ee1176a
Content-Type: text/plain; charset="UTF-8"
Content-Transfer-Encoding: quoted-printable

Bonjour,

J'envisage de protéger quelques serveurs par des règles iptables =
rejetant
des requêtes ne provenant pas de certains pays.

Comme ces serveurs sont à destination de clients français, j'ai e=
n tête de
rejeter la terre entière sauf la France et quelques pays où des c=
lients
passeraient leurs vacances.

Qui a déjà utilisé dans Debian un module déterminant le=
pays à partir d'une
IP ?
Quel retour d'expérience ?
Avec la rareté des adresses IPv4 et j'imagine, la revente de plages en=
tre
opérateurs divers, une telle détection fonctionne-t-elle correcte=
ment pour
la France ?
Comment s'opère la mise à jour des règles ?
Suggestions ?

Slts

--0000000000008845ca058ee1176a
Content-Type: text/html; charset="UTF-8"
Content-Transfer-Encoding: quoted-printable

<div dir="ltr"><div>Bonjour,</div><div><br></div><div>J&#39;envisage de p=
rotéger quelques serveurs par des règles iptables rejetant des re=
quêtes ne provenant pas de certains pays.</div><div><br></div><div>Com=
me ces serveurs sont à destination de clients français, j&#39;ai =
en tête de rejeter la terre entière sauf la France et quelques pa=
ys où des clients passeraient leurs vacances.</div><div><br></div><div=
>Qui a déjà utilisé dans Debian un module déterminant l=
e pays à partir d&#39;une IP ?<br></div><div>Quel retour d&#39;exp=
rience ?</div><div>Avec la rareté des adresses IPv4 et j&#39;imagin=
e, la revente de plages entre opérateurs divers, une telle détect=
ion fonctionne-t-elle correctement pour la France ?</div><div>Comment s&#39=
;opère la mise à jour des règles ?</div><div>Suggestions ?</=
div><div><br></div><div>Slts<br></div></div>

--0000000000008845ca058ee1176a--
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Haricophile
Le #26522478
Le mardi 30 juillet 2019 à 13:57 +0200, Ph. Gras a écrit :
Si le trafic est effectivement destiné à être circonscrit à une zone
géographique spécifiée, il conviendrait plutôt d'exclure toutes les
zones à l'exception de la zone cible. On peut le faire efficacement
dans la configuration de son serveur Web, et pour un MTA je ne
sais pas… Mais c'est très restrictif : pour l'utilisateur, interdit de
partir en vacances à l'étranger ! Peut-être pour une école, alors ?

D'autant que le VPN est à la mode... je me demande si identifier les
plages d'IP n'est pas beaucoup plus productif que la géolocalisation
sans avoir les outils d'espionnage généralisés qui vont avec...
Bref, banir les pays entiers c'est plutôt pour moi une méthode qui
fleure bon la nostalgie des temps passés, ainsi qu'une manière très peu
subtile et avec des effets secondaire potentiellement importants pour
résoudre ce genre de problème.
Publicité
Poster une réponse
Anonyme