On Thu, Oct 29, 2020 at 10:11:05AM +0100, Frederic Dumas wrote: > Intéressante statistique. Un millier d'adresses seulement? Ça fait > finalement très peu de ranges IP concernés.
C'est pour cela que j'ai un deuxième ban qui s'active en cas de récidive, même après des mois (c'est en standard dans fail2ban même s'il faut activer le jail recidive et le paramétrer). Et à l'époque, je signalais aux propriétaires des ranges les récividistes une fois par mois en groupant par e-mail destinataire. Même si c'était partiellement automatisé (cf https://attacks.alphanet.ch/), c'était beaucoup de travail manuel ensuite pour tomber sur les bonnes personnes, en particulier dans les pays en voie de développement où les WHOIS ne sont pas toujours aussi bien tenus et validés que ceux du RIPE. En Chine, c'était tout bonnement impossible, même APNIC semble avoir renoncé de valider les adresses de contact. Mais globalement ce n'était pas la majorité des attaques chez moi. Mais je me suis rendu compte que mes mails de signalisation activaient alors des protections anti-spam automatisées (peut-être certaines adresses des WHOIS sont des spam-tram). Donc j'ai laissé tomber. Par contre j'utilise abuseipdb.com maintenant. Aussi d'ailleurs pour protéger certains services: un accès web sur un service protégé demandait à abuseipdb.com si l'adresse était listée, si récent et suffisamment de hits, alors le firewall la bloquait. Mais j'ai aussi arrêté pour le moment. > Je ne sais pas où fail2ban l'enregistre, mais sur cette 18.04, les adresses > blacklistées sont bien déchargées et rechargées dans netfilter à chaque > arrêt/démarrage de fail2ban. Une quarantaine définitive survivra donc au > redémarrage du serveur. Ne reparse-t-il pas les logs, simplement ? > Merci pour ce tuto, il est particulièrement clair. Mais donne-t-il à > configurer Squid pour forwarder le https aussi ? De nos jours, c'est ce > trafic là qui nous intéresse avant tout. Oui, mais c'est fait sous forme de CONNECT, aka Squid transfère tes octets sans les toucher. J'aurais l'impression que sans mettre en place du MitM il n'y a aucun moyen pour Squid de modifier quoi que ce soit. _______________________________________________ gull mailing list [email protected] https://forum.linux-gull.ch/mailman/listinfo/gull
