[Je rebascule sur la liste du Gull un échange qui a commencé en mails
privés avec Daniel, mais dont le sujet est lié à la question d'origine]
Le 27/10/2020 à 15:42, Daniel Cordey a écrit :
Dans mes investigations, sur plusieurs dizaines de milliers de
tentatives, j'ai détecté 1'000 adresses IP différentes. Cela
signifie que les attaquants détectent les temps de quarantaine, de
nombre de tentatives et s'arrange pour rester en-dessous du radar et
font tourner les adresses IP. fail2ban n'y voit que du feu...
Intéressante statistique. Un millier d'adresses seulement? Ça fait
finalement très peu de ranges IP concernés.
Du coup, si le pool de rogue IP est limité, ça vaut le coup de les tenir
indéfiniment bloquées. Je viens de passer bantime à -1.
Je ne sais pas où fail2ban l'enregistre, mais sur cette 18.04, les
adresses blacklistées sont bien déchargées et rechargées dans netfilter
à chaque arrêt/démarrage de fail2ban. Une quarantaine définitive
survivra donc au redémarrage du serveur.
En attendant que Félix se manifeste (mais il ne répond même plus à
mes mails ces temps ci), voici un lien sur lequel je suis tombé hier:
https://linuxize.com/post/how-to-install-and-configure-squid-proxy-on-ubuntu-20-04/
Merci pour ce tuto, il est particulièrement clair. Mais donne-t-il à
configurer Squid pour forwarder le https aussi ? De nos jours, c'est ce
trafic là qui nous intéresse avant tout.
D'autres tutoriaux montrent à associer Squid à une autorité de
certification locale. J'imagine que ce n'est nécessaire que pour
terminer la connexion https sur Squid et la rouvrir depuis Squid vers le
serveur cible ? Ce n'est pas ce que je cherche à faire.
Pour mon usage (faire croire au site marchand que le trafic provient
d'un pays autre que celui de véritable origine) je préfère terminer les
sessions https directement sur le serveur cible. Seule l'IP change, le
User-Agent reste le même (impossible pour Squid de le modifier,
puisqu'il est chiffré dans la session https). Est-ce le résultat obtenu
par la config proposée par ton tuto ?
Dès lors que Squid est incapable de filtrer les requêtes https, est-ce
que ça donne des moyens aux webmestres de détecter la véritable IP
d'origine dans les headers du client web ? J'ai un vague souvenir d'une
fonction WebRTC utilisable dans ce but. Mais si on pense à la désactiver
(Firefox laisse probablement ce choix), ça devrait être bon ?
Merci pour ces premières réponses.
Félix, es-tu là ? Je profiterai volontiers de ton savoir de Manitou de
Squid.
--
Frederic Dumas
[email protected]
_______________________________________________
gull mailing list
[email protected]
https://forum.linux-gull.ch/mailman/listinfo/gull
