Avant d'en venir au coeur du sujet, quelques commentaires en-ligne:
> Vincent Bernat a écrit :
> Si tu ne fais pas d'auto hébergement, tu t'en fous un peu d'avoir ton IP
> résidentielle blacklistée.
Ben justement je m'auto-héberge, et je ne suis sûrement pas le seul geek barbu
à le faire. Il y a aussi le petit coté qui fait de moi un saint qui dit
qu'avoir un spambot ou autre merdiciel à la maison, envoyer de la merde à
l'Internet entier, et s'en foutre, c'est pas très propre.
> Laurent GUERBY a écrit :
> Un tunnel vers une autre IP publique jetable (VM/VPN a pas cher) pour le
> reseau invité ?
Oui oui, un peu usine à gaz mais pourquoi pas; deux commentaires ceci dit :
- Soit on le fait avec une des IP de [$job] on y perds un peu de son
indépendance, et quand on fait job++ faut nettoyer les restes à [$job-1].
- Soit on achète l'animal en question, qu'est-ce que tu as qui serait moins
cher que de demander un /29 au FAI ?
Bon revenons-en à l'Adtrap (was: parefeu) du geek barbu.
Le matos avec 2 ou 3 Ethernet, pas trop poussif, petit consommateur d'énergie,
pas trop cher : check, merci à tous ceux qui ont contribué à la machinbox du
geek barbu.
Moi je veux qu'il fonctionne en mode transparent, donc:
- Fonctionne en mode bridge, mais possède aussi sa propre IP.
- Interception des requêtes DNS.
- Ne pas forwarder / mentir si nécessaire.
- Dans le cas ou on ment, on retourne sa propre IP avec l'apache et les scripts
et redirects à la mode Cyril Lacoux.
- Dans le cas ou on ne ment pas, rien. Ce n'est donc pas un proxy.
[Cyril, t'en penses quoi, ton truc en mode bridge?]
Ca doit faire le café, aussi.
Tant qu'on y est, on mets aussi dedans l'ExaBGP de Thomas Mangin, qui donne à
bouffer au routeur les IPs louches qu'on route sur null0 et qu'on dégage dès
l'entrée avec RPF en mode strict (*).
Comment on détecte les IPs louches:
- Avec ????
- Avec des listes (snort)
- Avec certains logs (j'ai quelques attrape-cons..)
- Avec un IDS
> Gaëtan Duchaussois a écrit :
> Dans ce cas tu peux utiliser un ids en mode ips sur le réseau visiteur.
> Suricata ou autre.
> Mais c'est peut être un peu gourmand en ressources.
C'est quoi, gourmand ?
Autres ?
> Sinon tu dl les listes de snort ou de emerging threats que tu injectes dans
> ton pare feu.
J'ai jamais fait de snort en mode bridge, commentaires ? snort est un des
domaines ou je manque cruellement d'expérience.
(*) Oui je sais BCP38 c'est beaucoup d'emmerdes, mais là on parle d'un réseau
stub, donc sur mon routeur j'ai "ip verify unicast source reachable-via rx"
comme çà les bogons et autres saloperies ne traversent même pas l'interface
externe.
Michel.
___________ _______________
+---------------------------------/ Ze claoud \--+ +--/ Ze rézo local
\--------------------------------------------+
! ! !
!
! +-----+ +---+ +---+ ! !
+---+ +---------------+ !
! ! FAI ! ! x ! ! y ! ! ! Cafetière -----+
+- Serveur +---+ Switch Garage + !
! +--+--+ +-+-+ +-+-+ ! ! !
S ! ! +---------------+ !
! ! ! ! _______ !
W +- PCs +---+ !
! +--------+ +----+--------+------/ Cisco \----+ !
I ! ! +------ DVR !
! ! ! Tu100 Tu200 ! !
T +--------+ ! !
! ! ! NAT + Log ! +---------+ !
C ! +---+--+ !
! +--------------+ +---+ ATM0/0/0/0.35 Reflx ACL F0/0 +---+ Adtrap +--+
H +-------------+ Wifi +--- NeoTV !
! ! Team Cymru ! ! ! +---------+ !
! +-+-+--+ Netflix !
! ! FullBogon #1 +---+ ! eBGP eBGP eBGP iBGP ! !
+- Ooma ! ! !
! +--------------+ ! +----+------+------+-----------+--+ !
! ! +------ PC films !
! ! ! ! ! ! ! ! +--------+ !
+- Pi ! !
! +--------------+ +--------+ ! ! ! ! +------+ ExaBGP +---+
! ! !
! ! Team Cymru ! ! ! ! ! !--------+ !
! ! !
! ! FullBogon #2 +-------------------+ ! ! !
+-+-+ ((( o ))) (((geek))) !
! +--------------+ ! ! !
! !
! ! ! !
+---------------------+-----------------------------+ !
! +--------------+ ! ! ! ! Chiottes énablés
TCP/IP pour tirer la chasse avec ! !
! ! Bad IPs +--------------------------+ ! ! ! une app Android, et
générer un évenement syslog ! !
! ! BGP feed ! ! ! ! à chaque fois, çà
frime à mort avec les geeks. ! !
! +--------------+ ! !
+---------------------------------------------------+ !
! ! !
!
+------------------------------------------------+
+---------------------------------------------------------------+
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
