Si vous en avez marre des réseaux russes, chinois, coréens, ou même des petits malins qui s'amusent à tester si vous avez bien mis à jour phpmyadmin, ou si par hasard, vous n'auriez pas phpbb sur votre serveur, voici une astuce qui devrait vous plaire :
Il y a quelque temps, j'avais écris un serveur minimaliste en bash, vers lequel je dirigais des requêtes HTTP d'adresses IP blacklistées ( https://linuxfr.org/~hubix/24623.html ). Les remarques ont été très judicieuses, notamment le fait qu'un script en bash n'était pas adapté à une forte charge. Et l'implémentation d'un log en bash n'est pas très judicieuse...
J'ai donc installé lighttpd qui écoute sur un port spécifique, et qui ne sert qu'une seule page statique, quelle que soit la requête :
# exemple de fichier lighttpd.conf :
server.port = 8080
...
url.rewrite = ( ".*" => "/index.html" )
Puis, avec iptables, je marque les adresses ip blacklistées :
iptables -t mangle -A PREROUTING -s <adr ip blacklistée 1> -j MARK --set-mark 2
iptables -t mangle -A PREROUTING -s <adr ip blacklistée 2> -j MARK --set-mark 2
iptables -t mangle -A PREROUTING -s <adr ip blacklistée 3> -j MARK --set-mark 2
...
iptables -t mangle -A PREROUTING -p tcp --dport www -m mark --mark 2 -j MARK --set-mark 3
iptables -t nat -A PREROUTING -p tcp --dport www -m mark --mark 3 -j REDIRECT --to-port 8080
iptables -A INPUT -p tcp --dport 8080 -m mark --mark 3 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 8080 -m state --state RELATED,ESTABLISHED -j ACCEPT
----
L'avantage d'utiliser REDIRECT à la place de DNAT est bien sûr de conserver l'adresse réseau d'origine.
Pour ma part, cela a bien fonctionné. Je suis passé d'un milliers de lignes de recherches diverses dans le log d'apache, à quelques lignes dans les log de lighttpd.
Un seul avertissement est suffisant pour bien faire comprendre que l'auteur a été repéré.
Au delà de l'exercice technique, l'avantage a été de dépolluer un petit peu le réseau...
# Drop pur et simple
Posté par Victor STINNER (site web personnel) . Évalué à 2.
[^] # Re: Drop pur et simple
Posté par André Rodier . Évalué à 1.
J'ai reçu un mail d'un français expatrié en chine, qui a finalement opté pour un proxy pour accéder à mon serveur.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.