Le 07/11/2012 21:50, Stephane Bortzmeyer a écrit : > On Wed, Nov 07, 2012 at 06:29:14PM +0100, > prego jérémy <[email protected]> wrote > a message of 23 lines which said: > >> donc de façon clair, est-ce possible de banir les ips contenant >> toute le même reverse ? par exemple, faire une règle qui dis toute >> les ip ce terminant par rev.sfr.net sont banis d'office ? > > Cela me semble très dangereux, car cela signifie une requête DNS par > paquet, avec les lenteurs et timeouts associés.
et en particulier: DoS. > Pire, la seule requête > PTR n'offre aucune sécurité car le gérant d'une adresse IP peut mettre > le "reverse" qu'il veut. > en plus, ce genre d'approche encouragerait à ne pas mettre de reverse dns. > En fouillant les archives des listes Netfilter, je ne trouve aucun > module qui permette de faire cela. > > Ce message fournit une intéressante solution alternative : > > http://www.spinics.net/lists/netfilter/msg15915.html > si je comprends, Jérémy veut bloquer un espace d'adresses "résidentielles", comme "*.2.0.192.rev.sfr.net". Effectivement le whois plus des requêtes dns (faites en avance, et non en temps réel!) peut aider, même si c'est laborieux. et encore, on n'a pas besoin de dns pour ici! par exemple: prenons l'IP 86.70.1.1. son "reverse" est 1.1.70.86.rev.sfr.net, donc ça correspond bien au suffixe que Jérémy voudrait bloquer (c'est juste un exemple). $ whois 86.70.1.1 ... inetnum: 86.70.0.0 - 86.70.255.255 netname: N9UF-DYN-DSL descr: Dynamic pools ... en gros, ça indique le bloc 86.70.0.0 - 86.70.255.255 serait alloué dynamiquement... On tente alors quelques requêtes dns pour confirmer que les IPs ont un reverse dans la zone rev.sfr.net. pas la peine de résoudre toutes les IPs (256*256 IPs), on tente aux bouts et au milieu au hasard. de toute façon, si je ne me trompe, Jérémy veut bloquer un bloc "dynamique". -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers [email protected] En cas de soucis, contactez EN ANGLAIS [email protected] Archive: http://lists.debian.org/[email protected]
