Re: Bloquer une plage d'adresses IP avec Fail2ban et Nftables

Mon, 30 Sep 2024 02:01:49 -0700 

Le 30 septembre 2024 Bernard Bass a écrit :

> 147.185.133.97        47.128.25.253   47.128.112.206  47.128.21.18 
> 47.128.51.45
> 47.128.126.24         
> 47.128.117.162        47.128.41.49    47.128.123.15   47.128.47.113   
> 47.128.53.22
> 47.128.117.142        

> *J'aimerais comprendre pourquoi c'est ce type d'IP 47.128.xx.xx qui ressort à
> chaque fois, et, si il est possible de définir une plage IP.*

Tu peux utiliser whois et ipcalc (paquets du même nom) si tu veux
facilement trouver des plages. Par exemple :

$ ipcalc 47.128.25.253 - 47.128.127.131
deaggregate 47.128.25.253 - 47.128.127.131
47.128.25.253/32
47.128.25.254/31
47.128.26.0/23
47.128.28.0/22
47.128.32.0/19
47.128.64.0/19
47.128.96.0/20
47.128.112.0/21
47.128.120.0/22
47.128.124.0/23
47.128.126.0/24
47.128.127.0/25
47.128.127.128/30

Pour cette tranche :

$ whois 47.128.126.24
[...]
NetRange:       47.128.0.0 - 47.131.255.255
CIDR:           47.128.0.0/14
NetName:        AMAZON-SIN
NetHandle:      NET-47-128-0-0-2
Parent:         AT-88-Z (NET-47-128-0-0-1)
NetType:        Reallocated
OriginAS:       
Organization:   Amazon Data Services Singapore (ADSS-3)

Donc si tu n'as personne à Singapour tu peux blacklister complètement
les tranches que tu veux ou même tout 47.128.0.0/14

$ whois 147.185.133.97
[...]
NetRange:       147.185.132.0 - 147.185.139.255
CIDR:           147.185.136.0/22, 147.185.132.0/22
NetName:        PAN-22
NetHandle:      NET-147-185-132-0-1
Parent:         NET147 (NET-147-0-0-0-0)
NetType:        Direct Allocation
OriginAS:       
Organization:   Palo Alto Networks, Inc (PAN-22)

Palo Alto fait partie des scanners soit-disant pour la sécurité, ils se
proclament même "leader mondial de la cybersécurité". Tu peux blacklister
aussi.

> J'aimerais alors pouvoir interdire la consultation du serveur avec reject, et
> non pas drop, pour cette plage d'adresse IP.
> Si je ne me trompe pas, avec drop, le serveur continue de répondre, et,
> redirige le visiteur interdit vers une page 403, donc, envoi d'un mail.
> Avec reject le serveur ne répondra plus.

Avec reject il est averti que ça bloque et change d'IP. Ca ne fait que
déplacer le problème. Perso je fais des drop, mais en entrée du réseau,
en ingress ou prerouting, donc ça n'arrive jamais aux applis. Mais je ne
sais pas si on peut faire ça avec fail2ban.

Répondre à