Dans la série « amusons-nous à faire une liste des coquins », j’ai pris un peu de temps il y a quelques jours pour monter une VM sur laquelle j’ai mis toutes mes IP libres qui font partie de subnets configurés sur des interfaces broadcast. Déjà, ça réduit beaucoup le bruit sur le LAN (à cause de tous les arp request qui ont jamais de réponse). Ensuite, avec un fail2ban ssh qui ban 2 semaines au bout de 2 retry (ces IP étant inutilisées, je SAIS que c’est du scan), j’ai déjà 200 IP ban en 3 jours. Après, on peut pousser le truc pour faire pareil avec des serveurs HTTP, FTP, TFTP, etc…. bidons
J’ai pas cherché encore, quelqu’un a un script sous la main pour transformer la ban list en liste de /32 à annoncer par FRR ? Merci > Le 6 févr. 2024 à 19:29, Stéphane Rivière <s...@genesix.org> a écrit : > >> Alors ipdeny a un "léger" soucis, c'est basé sur le pays du LIR. Or, >> certains "FAI" >> comme Colt sont basés... en UK. >> >> Résultat, si tu as un client derrière une fibre Colt, et que tu n'autorises >> que le FR >> de ipdeny, il ne passera pas ton firewall. > > Merci Arnaud pour l'explication... > > En tout cas, avec ip2location, ça a l'air de gazer. Et, effectivement, le > niveau de bruit est devenu insignifiant. > > -- > Stéphane Rivière > Ile d'Oléron - France > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
