Re: [FRnOG] [TECH] Liste subnet IP des ISP FR
Le 05/10/2016 11:42, Laurent CARON a écrit : On 05/10/2016 11:36, jehan procaccia INT wrote: je ne sais pas si le projet est réalisable, mais serait-il possible de constituer une liste (peut-être pas exhaustive ...) des subnets IP de ISP français a des fins de contrôle d’accès firewall (ACL autorisant seulement les internautes FR) ? j'ai trouvé cette page : http://ipinfo.io/countries/fr piste suivie: http://serverfault.com/questions/351123/need-to-find-users-of-asn-in-my-country et http://www.team-cymru.org/IP-ASN-mapping.html une requete en cli en donne +1200 ASN FR : $ whois -h cc2asn.com FR | wc -l 1217 sinon http://www.cidr-report.org/as2.0/bgp-originas.html les recherches semble fastidieuses si vous avez mieux ? Bonjour, http://www.ipdeny.com/ipblocks/data/aggregated/fr-aggregated.zone http://www.ipdeny.com/ipv6/ipaddresses/blocks/fr.zone Loin d'être parfait...mais une piste pour commencer. --- Liste de diffusion du FRnOG http://www.frnog.org/ oui pas mal ces listes sur http://www.ipdeny.com/ipblocks/ , en plus régulièrement mises a jours : Zone files last updated: Wed Oct 5 12:07:23 UTC 2016 je suis d'accord que ce n'est pas LA bonne solution, mais je veux juste faire un filtrage grossier, meme plus grossier que cette liste tout FR je voudrai limiter l'acces aux gros ISP (orange, free, sfr, bouygues) afin d'avoir une ACL limitée en taille, mais même parmi eux il y a des ranges de subnets et souvent plusieurs ASN cette liste d'ASN + subnets IP des 4 opérateurs nationaux est-elle déjà agrégée qq part avant que je me lance dans une liste maison ? a partir ce ça par exemple : http://www.nirsoft.net/countryip/fr_total.html Merci . --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Liste subnet IP des ISP FR
Hello, Ah... GeoIP des IPs... (ou equivalent), tellement utile et à la ramasse. Pour info j'ai un /24 pas taggé comme il faut dans les deux DB alors que la MAJ sur le Whois du RIPE date ... de mai. Bref, encore une demonstration que le tagging GeoIP de ces usines à gaz sont à coté de la plaque. > http://www.maxmind.com/en/country > > http://software77.net/geo-ip/ (Je viens de tester à l'instant). /Xavier --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [TECH] Liste subnet IP des ISP FR
C'est pour cela que les filtrages actuels s'appuient plus sur de la réputation d'adresse IP en mode "temps réel" que sur de la geoprotection par plage d'IP par pays. Cordialement. Damien Gousseau. -Original Message- From: frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] On Behalf Of Radu-Adrian Feurdean Sent: mercredi 5 octobre 2016 14:03 To: jehan procaccia INT; frnog-t...@frnog.org Subject: Re: [FRnOG] [TECH] Liste subnet IP des ISP FR On Wed, Oct 5, 2016, at 12:59, Radu-Adrian Feurdean wrote: > Apres, surtout en mode "entreprise", il peut y avoir des numeros d'AS > etrangeres (societe mere gerant l'AS ayant le siege a l'entranger) > mais qui fournissent du service en France. > Pareil pour les *allocations* chez RIPE NCC (qui publie dans un format > facilement lisible les *allocations*), il peut y avoir une allocation > faite pour une societe dans un pays etranger, dont une partie est > *assigne* a des utilisateurs en France. Il y a aussi le fait que > certains peuvent ne pas mettre a jour les bases RIPE. Sans oublier aussi les blocs qui sont marques "EU" (Europe - generic) mais qui ont de bouts (voir l'integralite) qui sont en France. 2 de mes precedents employeurs avait ca. --- Liste de diffusion du FRnOG http://www.frnog.org/ Email secured by Check Point --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Liste subnet IP des ISP FR
On Wed, Oct 5, 2016, at 12:59, Radu-Adrian Feurdean wrote: > Apres, surtout en mode "entreprise", il peut y avoir des numeros d'AS > etrangeres (societe mere gerant l'AS ayant le siege a l'entranger) mais > qui fournissent du service en France. > Pareil pour les *allocations* chez RIPE NCC (qui publie dans un format > facilement lisible les *allocations*), il peut y avoir une allocation > faite pour une societe dans un pays etranger, dont une partie est > *assigne* a des utilisateurs en France. Il y a aussi le fait que > certains peuvent ne pas mettre a jour les bases RIPE. Sans oublier aussi les blocs qui sont marques "EU" (Europe - generic) mais qui ont de bouts (voir l'integralite) qui sont en France. 2 de mes precedents employeurs avait ca. --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [TECH] Liste subnet IP des ISP FR
Bonjour, Chez Check Point nous utilisons 2 sources pour alimenter nos solutions et nous préconisons une mise à jour par semaine : Who is our Geo database vendor? Answer: We have two Geo database vendors: http://www.maxmind.com/en/country http://software77.net/geo-ip/ Cordialement. Dmaien Gousseau. -Original Message- From: frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] On Behalf Of Radu-Adrian Feurdean Sent: mercredi 5 octobre 2016 12:59 To: jehan procaccia INT; frnog-t...@frnog.org Subject: Re: [FRnOG] [TECH] Liste subnet IP des ISP FR On Wed, Oct 5, 2016, at 11:36, jehan procaccia INT wrote: > je ne sais pas si le projet est réalisable, mais serait-il possible de > constituer une liste (peut-être pas exhaustive ...) des subnets IP de > ISP français a des fins de contrôle d’accès firewall (ACL autorisant > seulement les internautes FR) ? Complique si tu veux avoir des donnees fiables. Si se debarasser d'environ 10% (???) d'internautes ne pose pas de problemes, ca devra etre possible. Pour commencer, si tu n'est pas pret a mettre a jour les listes regulierement (une fois par semaine, strict maximum une fois par mois) et de facon *automatique*, abandonne de suite (dis que ce n'est pas possible). Apres, surtout en mode "entreprise", il peut y avoir des numeros d'AS etrangeres (societe mere gerant l'AS ayant le siege a l'entranger) mais qui fournissent du service en France. Pareil pour les *allocations* chez RIPE NCC (qui publie dans un format facilement lisible les *allocations*), il peut y avoir une allocation faite pour une societe dans un pays etranger, dont une partie est *assigne* a des utilisateurs en France. Il y a aussi le fait que certains peuvent ne pas mettre a jour les bases RIPE. Il y a aussi des utilisaturs Francais qui peuvent arriver sur Internet depuis un IP etranger en raison des politiques internes de leur societe. Apres, il ya de plus en plus les transferts, puisque les blocs d'IPv4 sont actuellement distribues miette par miette. Tu peux te retrouver avec un FAI francais qui achete un bloc d'adresses depuis la Pologne, Danmark ou Bulgarie et qui commence a l'utiliser tres rapidement. D'ou mon commentaire initial avec les mises a jour. Ca donne a peu pres les memes resultats avec les nouveaux blocs, si un FAI veut faire l'effort de ramasser des miettes. De ce point de vue, la situation va juste empirer avec le temps. Pour la source des donnees, il y a soit RIPE NCC (qui distribue ou au minima enregistre les transferts) soit des bases externes type Maxmind, qui enrichit les donnees RIPE avec ses propres donnees obtenues d'autres facons. Tres utile pour la prevention de la fraude aussi. Pour Maxmind, pareil ca doit etre mis a jour regulierement. Pour le fait de generer des ACL, il faut etre pret a avoir des ACL qui peuvent ateindre des centaines (moire meme des milliers) de lignes. Personellement, je considere mettre des ACL une grosse connerie. S'il faut restreindre l'acces, il faut le faire au niveau applicatif (les bases Maxmind sont tres utilises comme ca), non pas reseau. --- Liste de diffusion du FRnOG http://www.frnog.org/ Email secured by Check Point --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Liste subnet IP des ISP FR
On Wed, Oct 5, 2016, at 11:36, jehan procaccia INT wrote: > je ne sais pas si le projet est réalisable, mais serait-il possible de > constituer une liste (peut-être pas exhaustive ...) > des subnets IP de ISP français a des fins de contrôle d’accès firewall > (ACL autorisant seulement les internautes FR) ? Complique si tu veux avoir des donnees fiables. Si se debarasser d'environ 10% (???) d'internautes ne pose pas de problemes, ca devra etre possible. Pour commencer, si tu n'est pas pret a mettre a jour les listes regulierement (une fois par semaine, strict maximum une fois par mois) et de facon *automatique*, abandonne de suite (dis que ce n'est pas possible). Apres, surtout en mode "entreprise", il peut y avoir des numeros d'AS etrangeres (societe mere gerant l'AS ayant le siege a l'entranger) mais qui fournissent du service en France. Pareil pour les *allocations* chez RIPE NCC (qui publie dans un format facilement lisible les *allocations*), il peut y avoir une allocation faite pour une societe dans un pays etranger, dont une partie est *assigne* a des utilisateurs en France. Il y a aussi le fait que certains peuvent ne pas mettre a jour les bases RIPE. Il y a aussi des utilisaturs Francais qui peuvent arriver sur Internet depuis un IP etranger en raison des politiques internes de leur societe. Apres, il ya de plus en plus les transferts, puisque les blocs d'IPv4 sont actuellement distribues miette par miette. Tu peux te retrouver avec un FAI francais qui achete un bloc d'adresses depuis la Pologne, Danmark ou Bulgarie et qui commence a l'utiliser tres rapidement. D'ou mon commentaire initial avec les mises a jour. Ca donne a peu pres les memes resultats avec les nouveaux blocs, si un FAI veut faire l'effort de ramasser des miettes. De ce point de vue, la situation va juste empirer avec le temps. Pour la source des donnees, il y a soit RIPE NCC (qui distribue ou au minima enregistre les transferts) soit des bases externes type Maxmind, qui enrichit les donnees RIPE avec ses propres donnees obtenues d'autres facons. Tres utile pour la prevention de la fraude aussi. Pour Maxmind, pareil ca doit etre mis a jour regulierement. Pour le fait de generer des ACL, il faut etre pret a avoir des ACL qui peuvent ateindre des centaines (moire meme des milliers) de lignes. Personellement, je considere mettre des ACL une grosse connerie. S'il faut restreindre l'acces, il faut le faire au niveau applicatif (les bases Maxmind sont tres utilises comme ca), non pas reseau. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Liste subnet IP des ISP FR
Matin, Quick and dirty powered, mais tu auras tous les ranges français : for i in $(while read AS; do echo $(sed 's/AS//') ; done < <(whois -h cc2asn.com FR)); do whois -h asn.shadowserver.org prefix $i; done -- alarig signature.asc Description: Digital signature
Re: [FRnOG] [TECH] Liste subnet IP des ISP FR
On 05/10/2016 11:36, jehan procaccia INT wrote: je ne sais pas si le projet est réalisable, mais serait-il possible de constituer une liste (peut-être pas exhaustive ...) des subnets IP de ISP français a des fins de contrôle d’accès firewall (ACL autorisant seulement les internautes FR) ? j'ai trouvé cette page : http://ipinfo.io/countries/fr piste suivie: http://serverfault.com/questions/351123/need-to-find-users-of-asn-in-my-country et http://www.team-cymru.org/IP-ASN-mapping.html une requete en cli en donne +1200 ASN FR : $ whois -h cc2asn.com FR | wc -l 1217 sinon http://www.cidr-report.org/as2.0/bgp-originas.html les recherches semble fastidieuses si vous avez mieux ? Bonjour, http://www.ipdeny.com/ipblocks/data/aggregated/fr-aggregated.zone http://www.ipdeny.com/ipv6/ipaddresses/blocks/fr.zone Loin d'être parfait...mais une piste pour commencer. --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [TECH] Liste subnet IP des ISP FR
je ne sais pas si le projet est réalisable, mais serait-il possible de constituer une liste (peut-être pas exhaustive ...) des subnets IP de ISP français a des fins de contrôle d’accès firewall (ACL autorisant seulement les internautes FR) ? j'ai trouvé cette page : http://ipinfo.io/countries/fr piste suivie: http://serverfault.com/questions/351123/need-to-find-users-of-asn-in-my-country et http://www.team-cymru.org/IP-ASN-mapping.html une requete en cli en donne +1200 ASN FR : $ whois -h cc2asn.com FR | wc -l 1217 sinon http://www.cidr-report.org/as2.0/bgp-originas.html les recherches semble fastidieuses si vous avez mieux ? Merci . --- Liste de diffusion du FRnOG http://www.frnog.org/