Sécurité

**olppp** · 24/05/2013, 12h01

Bonjour,

une idée en passant, serait-il possible de collecter les vilaines IP pour établir une blacklist façon anti-spam ?

les mêmes IP sources reviennent en effet souvent ou proviennent d'un même sous réseau.
la blacklist permettrait de bloquer les indélicats directement au niveau du pare-feu du site.

**Kriss** · 24/05/2013, 12h13

Je crois qu'une telle liste avait déjà été faite, je ne sais plus par qui.
Elle était tenue à jour grâce à un honeypot.

**jean** · 24/05/2013, 14h14

tu as ca là: http://www.infiltrated.net/voipabuse/

mais je suis pas convaincu... il te faut de toute façon une bonne protection. si je devais mettre un filtrage proactif sur les ip, je ferais plutot une white list

**kuusou** · 31/05/2013, 13h57

Merci pour ta réponse Jean.

En ce qui me concerne, je ne peux reellement pas faire une white list, car la principal utilisateur voyage, et a donc des IP dynamiques. Je vais tester l'option security !

**fastm3** · 31/05/2013, 15h05

port knocking alors.
Liste blanche et quand vraiment necessaire "port knocking" a base juste d'iptables. C'est en plus. D'autres mesures de securité basique sont necessaires et c'est surtout pour ssh dans mon cas mais j'ouvre tout ( enfin juste le firewall ) si l'ip est reconnue comme fiable. Moi je le fais au telnet/kitty le knock knock si necessaire mais il faut peut etre un outil pour un client lambda, ca existe mais jamais trop regardé.
Fastm3.

**jean** · 31/05/2013, 15h47

perso, j'ai mis dans iptables les user agent et "signatures" de tous les scanners existants avec une regle DROP

je suis scanné 10 à 20 fois par jour (22 hier...) et c'est exceptionnel que quelqu'un passe - et derrière il y a F2B qui attend au coin du bois

l'intérêt de telles règles est que le scanner ne voit pas qu'il y a un serveur voip, car dès le premier paquet, je jette ! en 4 ans, pas plus d'une dizaine de fois quelqu'un a passé cette première barrière.

je peux filer les regles en mp si ca interesse, mais je les mets pas publiques, je n'ai pas envie que des rigolos finissent par s'adapter et qu'on se fasse emm.der !!!

J.

**kuusou** · 04/06/2013, 19h43

Envoyé par jean

perso, j'ai mis dans iptables les user agent et "signatures" de tous les scanners existants avec une regle DROP

je suis scanné 10 à 20 fois par jour (22 hier...) et c'est exceptionnel que quelqu'un passe - et derrière il y a F2B qui attend au coin du bois

l'intérêt de telles règles est que le scanner ne voit pas qu'il y a un serveur voip, car dès le premier paquet, je jette ! en 4 ans, pas plus d'une dizaine de fois quelqu'un a passé cette première barrière.

je peux filer les regles en mp si ca interesse, mais je les mets pas publiques, je n'ai pas envie que des rigolos finissent par s'adapter et qu'on se fasse emm.der !!!

J.

si je ne dis pas de bétises les iptables ne survivent pas naturellement au reboot non ? donc ta règle d'iptables est chargée en cron ?

Discussion: Sécurité

Outils de la discussion

Rechercher dans la discussion

Affichage

Vue hybride

Règles de messages