Bonjour,
Le 23 oct. 2012 à 14:48, Xavier Beaudouin a écrit :
>>
>> Je plussoie sur ce point. Le minimum à bloquer est le /64. C'est le
>> plus grand préfixe pour lequel on puisse supposer qu'il est géré par
>> une entité administrative unique. Si un administrateur réseau ne sait
>> pas contrôler
Salut,
Vu qu'une liaison fai, un loueur de serveur, ... ne sont pas sensé
te donner moins que /64 c'est que tu as forcément à faire à une
seule et même entité.
Je plussoie sur ce point. Le minimum à bloquer est le /64. C'est le
plus grand préfixe pour lequel on puisse supposer qu'il est géré pa
Ciao
> hahha le null route c'est efficace mais faut quand même maitriser son
> IGP :) et là c'est plus forcément aussi courant :) Par contre remplacer
> le null route par un iptables sur les frontaux ça doit aussi efficace
> avec la même technique ...
Merci pour vos retours. Effectivement pour
Le 22/10/2012 18:07, Mathieu Arnold a écrit :
> [../..]
> Il parle ensuite à un autre service sur une autre machine, pour lui filer
> les ip des méchants, qui est relié à un quagga qui sert de serveur de
> blackhole bgp, si mes souvenirs sont bons, les méchants sont punis pendant
> pendant 4 heures
+--On 22 octobre 2012 09:47:55 +0200 cam.la...@azerttyu.net wrote:
| Ciao
|
| Pour commencer la semaine je m'interroge sur comment optimiser mes
| bannissements IP entre mes serveurs.
| Pour le moment je déploie fail2ban sur toutes mes machines et je
| trouve que cela marche pas mal mais chaque ma
Bonjour,
Le 22 oct. 2012 à 17:14, Wallace a écrit :
>
> Pour ce qui est à banir, je dirais le plus petit subnet attribuable soit
> /64.
> Vu qu'une liaison fai, un loueur de serveur, ... ne sont pas sensé te
> donner moins que /64 c'est que tu as forcément à faire à une seule et
> même entité.
Le 22/10/2012 16:46, Xavier Beaudouin a écrit :
>
> Bon c'est sympa, mais quitte à lancer un pavé dans la marre Quid des IPv6
> ?
>
> Si 2001:db8:1337::dead:beef arrive a ton fail2ban tu colles quoi dans ta RBL :
> - l'ip en /128 ?
> - le subnet en /64 ?
> - le subnet en /56 ?
> - ?
>
> Parce
Et pourtant, une solution toute simple serait que chaque FAI indique
la taille du subnet IPv6 attribué aux end-users, dans son whois
(l'idée est passée ici il y a quelques temps).
Le 22/10/12, Xavier Beaudouin a écrit :
> Hello,
>
> Le 22 oct. 2012 à 16:23, jean-y...@lenhof.eu.org a écrit :
>
> (.
Hello,
Le 22 oct. 2012 à 16:23, jean-y...@lenhof.eu.org a écrit :
(...)
> Une première piste :
>
> http://www.kloth.net/internet/dnsbl-howto.php
>
> Avec qq lignes supplémentaires :
> - Tu interroges ton serveur DNS pour savoir si l'IP blacklistée est dedans
> - Si elle n'est pas présente tu a
Le 22/10/2012 15:08, cam.la...@azerttyu.net a écrit :
Ciao
Personnellement je n'utilise blocklist.de (et dshield.org également)
que
pour la partie reporting.
Ok
Après concernant la mutualisation je ne serai
pas vraiment chaud pour ça ;) A moins de bien connaitre et maitriser
les
peers ave
Ciao
> Personnellement je n'utilise blocklist.de (et dshield.org également) que
> pour la partie reporting.
Ok
> Après concernant la mutualisation je ne serai
> pas vraiment chaud pour ça ;) A moins de bien connaitre et maitriser les
> peers avec qui tu mutualises ces informations ça peut vite s
Le 22/10/2012 09:47, cam.la...@azerttyu.net a écrit :
> Ciao
Coucou
> [../..]
>
> J'ai vu des initiatives comme http://www.blocklist.de qui fournit une
> approche de communauté de serveur, je me dit que cela ne doit pas être
> la seule et m'intérroge sur leur pertinence. Je me demande aussi
> comm
Ciao
Pour commencer la semaine je m'interroge sur comment optimiser mes
bannissements IP entre mes serveurs.
Pour le moment je déploie fail2ban sur toutes mes machines et je
trouve que cela marche pas mal mais chaque machine gère du coup son
propre lot d'ip bloquée et rate parfois l'ip vu par un d
13 matches
Mail list logo
