Forum Astuces.divers [Web/Réseau] Utiliser un deuxième serveur pour des adresses ip sur liste noire

Posté par  .
Étiquettes : aucune
0
22
juil.
2007
Si vous en avez marre des réseaux russes, chinois, coréens, ou même des petits malins qui s'amusent à tester si vous avez bien mis à jour phpmyadmin, ou si par hasard, vous n'auriez pas phpbb sur votre serveur, voici une astuce qui devrait vous plaire :

Il y a quelque temps, j'avais écris un serveur minimaliste en bash, vers lequel je dirigais des requêtes HTTP d'adresses IP blacklistées ( https://linuxfr.org/~hubix/24623.html ). Les remarques ont été très judicieuses, notamment le fait qu'un script en bash n'était pas adapté à une forte charge. Et l'implémentation d'un log en bash n'est pas très judicieuse...

J'ai donc installé lighttpd qui écoute sur un port spécifique, et qui ne sert qu'une seule page statique, quelle que soit la requête :
# exemple de fichier lighttpd.conf :
server.port = 8080
...
url.rewrite = ( ".*" => "/index.html" )

Puis, avec iptables, je marque les adresses ip blacklistées :
iptables -t mangle -A PREROUTING -s <adr ip blacklistée 1> -j MARK --set-mark 2
iptables -t mangle -A PREROUTING -s <adr ip blacklistée 2> -j MARK --set-mark 2
iptables -t mangle -A PREROUTING -s <adr ip blacklistée 3> -j MARK --set-mark 2
...
iptables -t mangle -A PREROUTING -p tcp --dport www -m mark --mark 2 -j MARK --set-mark 3
iptables -t nat -A PREROUTING -p tcp --dport www -m mark --mark 3 -j REDIRECT --to-port 8080
iptables -A INPUT -p tcp --dport 8080 -m mark --mark 3 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 8080 -m state --state RELATED,ESTABLISHED -j ACCEPT
----
L'avantage d'utiliser REDIRECT à la place de DNAT est bien sûr de conserver l'adresse réseau d'origine.

Pour ma part, cela a bien fonctionné. Je suis passé d'un milliers de lignes de recherches diverses dans le log d'apache, à quelques lignes dans les log de lighttpd.

Un seul avertissement est suffisant pour bien faire comprendre que l'auteur a été repéré.

Au delà de l'exercice technique, l'avantage a été de dépolluer un petit peu le réseau...
  • # Drop pur et simple

    Posté par  (site web personnel) . Évalué à 2.

    Pourquoi ne pas simplement "DROP"per les requêtes d'IP de la liste noire ?
    • [^] # Re: Drop pur et simple

      Posté par  . Évalué à 1.

      Parce que de cette façon, les personnes de bonne foi sont averties que le réseau qu'ils utilisent est blacklisté.
      J'ai reçu un mail d'un français expatrié en chine, qui a finalement opté pour un proxy pour accéder à mon serveur.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.