Forum: >>> Magnum BBS <<<

Bloquer une plage d'adresses IP avec Fail2ban et Nftables

From Bernard Bass@21:1/5 to All on Mon Sep 30 01:10:01 2024

This is a multi-part message in MIME format.
Bonjour,

Je cherche un sysadmin à l'aise avec les IP et les masques de sous
réseau, une partie que je digère très mal, pour identifier la plage IP
de mon visiteur.

Mon serveur reçoit un bot toutes les deux minutes, qui se retrouve sur
une page erreur 403.
Cela entraîne des logs, mais surtout, un mail à chaque visite de la page
403 (C'est le but souhaité avec la page personnalisée.)

Maintenant, j'aimerais pouvoir interdire à ce visiteur régulier de
polluer mes logs et ma boîte mail.
Le soucis, c'est qu'il visite le site avec la même IP, deux fois, puis,
il change d'IP.

Voilà les IP listées pour exemple :

Bloquer une plage d'adresse IP avec Fail2ban et Nftables.

Une seule IP Deux IP Deux IP Deux IP Deux IP Deux IP Trois IP
147.185.133.97 47.128.25.253 47.128.112.206 47.128.21.18
47.128.51.45 47.128.126.24
47.128.117.162 47.128.41.49 47.128.123.15 47.128.47.113 47.128.53.22
47.128.117.142
47.128.41.134 47.128.99.77 47.128.54.44 47.128.127.131 47.128.48.80
47.128.54.40 47.128.44.78 47.128.56.179 47.128.54.65 47.128.56.182
47.128.51.59 47.128.35.68 47.128.38.83
47.128.45.115 47.128.112.189
47.128.41.185
47.128.45.110
47.128.98.3
47.128.112.255

Pouvez vous me donner votre avis, si il est possible de définir une
plage IP à bloquer, et, si oui, comment faire ?

Passer la tolérance de Fail2ban de 3 erreurs à 2 erreurs me semble trop radical, cela pourrait bloquer un visiteur légitime pour peu qu'il fasse
2 fois la même fausse manip qui pourrait l'envoyer vers une page 403. Il subirait alors un ban, ce n'est pas ce que je cherche.

*J'aimerais comprendre pourquoi c'est ce type d'IP 47.128.xx.xx qui
ressort à chaque fois, et, si il est possible de définir une plage IP.*

J'aimerais alors pouvoir interdire la consultation du serveur avec
reject, et non pas drop, pour cette plage d'adresse IP.
Si je ne me trompe pas, avec drop, le serveur continue de répondre, et, redirige le visiteur interdit vers une page 403, donc, envoi d'un mail.
Avec reject le serveur ne répondra plus.

Pouvez vous me donner votre avis pour gérer ce visiteur ?

<!DOCTYPE html>
<html>
<head>

<meta http-equiv="content-type" content="text/html; charset=UTF-8">
</head>
<body text="#000000" bgcolor="#929292">
<p>Bonjour,<br>
<br>
Je cherche un sysadmin à l'aise avec les IP et les masques de sous
réseau, une partie que je digère très mal, pour identifier la
plage IP de mon visiteur.<br>
</p>
<p>Mon serveur reçoit un bot toutes les deux minutes, qui se
retrouve sur une page erreur 403.<br>
Cela entraîne des logs, mais surtout, un mail à chaque visite de
la page 403 (C'est le but souhaité avec la page personnalisée.)</p>
<p>Maintenant, j'aimerais pouvoir interdire à ce visiteur régulier
de polluer mes logs et ma boîte mail.<br>
Le soucis, c'est qu'il visite le site avec la même IP, deux fois,
puis, il change d'IP.</p>
<p>Voilà les IP listées pour exemple :</p>
<p>Bloquer une plage d'adresse IP avec Fail2ban et Nftables.</p>
<table
style="border-collapse: collapse; width: 100%; height: 249.6px;"
border="1">
<colgroup><col style="width: 14,28%;"><col style="width: 14,28%;"><col
style="width: 14,28%;"><col style="width: 14,28%;"><col
style="width: 14,28%;"><col style="width: 14,28%;"><col
style="width: 14,28%;"></colgroup>
<tbody>
<tr style="height: 20.8px;">
<td style="height: 20.8px;">Une seule IP</td>
<td style="height: 20.8px;">Deux IP</td>
<td style="height: 20.8px;">Deux IP</td>
<td style="height: 20.8px;">Deux IP</td>
<td style="height: 20.8px;">Deux IP</td>
<td style="height: 20.8px;">Deux IP</td>
<td style="height: 20.8px;">Trois IP</td>
</tr>
<tr style="height: 20.8px;">
<td style="height: 20.8px;">147.185.133.97</td>
<td style="height: 20.8px;">47.128.25.253</td>
<td style="height: 20.8px;">47.128.112.206</td>
<td style="height: 20.8px;">47.128.21.18</td>
<td style="height: 20.8px;">47.128.51.45</td>
<td style="height: 20.8px;">47.128.126.24</td>
<td style="height: 20.8px;"> </td>
</tr>
<tr style="height: 20.8px;">
<td style="height: 20.8px;">47.128.117.162</td>
<td style="height: 20.8px;">47.128.41.49</td>
<td style="height: 20.8px;">47.128.123.15</td>
<td style="height: 20.8px;">47.128.47.113</td>
<td style="height: 20.8px;">47.128.53.22</td>
<td style="height: 20.8px;">47.128.117.142</td>
<td style="height: 20.8px;"> </td>
</tr>
<tr style="height: 20.8px;">
<td style="height: 20.8px;"> </td>
<td style="height: 20.8px;">47.128.41.134</td>
<td style="height: 20.8px;">47.128.99.77</td>
<td style="height: 20.8px;">47.128.54.44</td>
<td style="height: 20.8px;">47.128.127.131</td>
<td style="height: 20.8px;">47.128.48.80</td>
<td style="height: 20.8px;"> </td>
</tr>
<tr style="height: 20.8px;">
<td style="height: 20.8px;"> </td>
<td style="height: 20.8px;">47.128.54.40</td>
<td style="height: 20.8px;">47.128.44.78</td>
<td style="height: 20.8px;">47.128.56.179</td>
<td style="height: 20.8px;">47.128.54.65</td>
<td style="height: 20.8px;">47.128.56.182</td>
<td style="height: 20.8px;"> </td>
</tr>
<tr style="height: 20.8px;">
<td style="height: 20.8px;"> </td>
<td style="height: 20.8px;">47.128.51.59</td>
<td style="height: 20.8px;">47.128.35.68</td>
<td style="height: 20.8px;">47.128.38.83</td>
<td style="height: 20.8px;"> </td>
<td style="height: 20.8px;"> </td>
<td style="height: 20.8px;"> </td>
</tr>
<tr style="height: 20.8px;">
<td style="height: 20.8px;"> </td>
<td style="height: 20.8px;">47.128.45.115</td>
<td style="height: 20.8px;">47.128.112.189</td>
<td style="height: 20.8px;"> </td>
<td style="height: 20.8px;"> </td>
<td style="height: 20.8px;"> </td>
<td style="height: 20.8px;"> </td>
</tr>
<tr style="height: 20.8px;">
<td style="height: 20.8px;"> </td>
<td style="height: 20.8px;">47.128.41.185</td>
<td style="height: 20.8px;"> </td>
<td style="height: 20.8px;"> </td>
<td style="height: 20.8px;"> </td>
<td style="height: 20.8px;"> </td>
<td style="height: 20.8px;"> </td>
</tr>
<tr style="height: 20.8px;">
<td style="height: 20.8px;"> </td>
<td style="height: 20.8px;">47.128.45.110</td>
<td style="height: 20.8px;"> </td>
<td style="height: 20.8px;"> </td>
<td style="height: 20.8px;"> </td>
<td style="height: 20.8px;"> </td>
<td style="height: 20.8px;"> </td>
</tr>
<tr style="height: 20.8px;">
<td style="height: 20.8px;"> </td>
<td style="height: 20.8px;">47.128.98.3</td>
<td style="height: 20.8px;"> </td>
<td style="height: 20.8px;"> </td>
<td style="height: 20.8px;"> </td>
<td style="height: 20.8px;"> </td>
<td style="height: 20.8px;"> </td>
</tr>
<tr style="height: 20.8px;">
<td style="height: 20.8px;"> </td>
<td style="height: 20.8px;">47.128.112.255</td>
<td style="height: 20.8px;"> </td>
<td style="height: 20.8px;"> </td>
<td style="height: 20.8px;"> </td>
<td style="height: 20.8px;"> </td>
<td style="height: 20.8px;"> </td>
</tr>
<tr style="height: 20.8px;">
<td style="height: 20.8px;"> </td>
<td style="height: 20.8px;"> </td>
<td style="height: 20.8px;"> </td>
<td style="height: 20.8px;"> </td>
<td style="height: 20.8px;"> </td>
<td style="height: 20.8px;"> </td>
<td style="height: 20.8px;"> </td>
</tr>
</tbody>
</table>
<p> Pouvez vous me donner votre avis, si il est possible de définir
une plage IP à bloquer, et, si oui, comment faire ?<br>
<br>
Passer la tolérance de Fail2ban de 3 erreurs à 2 erreurs me semble
trop radical, cela pourrait bloquer un visiteur légitime pour peu
qu'il fasse 2 fois la même fausse manip qui pourrait l'envoyer
vers une page 403. Il subirait alors un ban, ce n'est pas ce que
je cherche.</p>
<p><b>J'aimerais comprendre pourquoi c'est ce type d'IP 47.128.xx.xx
qui ressort à chaque fois, et, si il est possible de définir une
plage IP.</b><br>
<br>
J'aimerais alors pouvoir interdire la consultation du serveur avec
reject, et non pas drop, pour cette plage d'adresse IP.<br>
Si je ne me trompe pas, avec drop, le serveur continue de
répondre, et, redirige le visiteur interdit vers une page 403,
donc, envoi d'un mail.<br>
Avec reject le serveur ne répondra plus.<br>
<br>
Pouvez vous me donner votre avis pour gérer ce visiteur ?<br>
</p>
<p></p>
</body>
</html>

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

From Pierre Malard@21:1/5 to All on Mon Sep 30 07:50:01 2024

--Apple-Mail=_60F0107B-080A-4EB5-9DF0-ED1EA60ED2BB
Content-Transfer-Encoding: quoted-printable
Content-Type: text/plain;
charset=utf-8

Bonjour,

C’est une plaie récurrente mais tu peux avoir une aide via des listes d’IP/réseaux connus comme sur :
https://www.openbl.org/lists/all.txt
https://lists.blocklist.de/lists/all.txt https://rules.emergingthreats.net/blockrules/compromised-ips.txt https://rules.emergingthreats.net/fwrules/emerging-Block-IPs.txt
…
(liste non exhaustive)

Tu peux y ajouter ta propre liste. Avec ton exemple 47.128, c’est un service amazon sur un masque de réseau classe B (47.128.0.0/16) qu’il faudrait blacklister. Il est vrai que ces gros fournisseurs d’accès sont peu regardants sur ce que tu fais
derrière… Mais il faut savoir qu’il y a peut-être des bons dans ces mauvais.

Le principe c’est de concatérer les listes d’IP/Net de ces listes et les bloquer via « ipset ». ce qui bloque ces IPs au dessus de Fail2Ban en les bloquant définitivement.

Il y a aussi un petit Python très bien sur https://github.com/egrisel/ban-them. Il tient une petite base de données des IP à bloquer définitivement en se basant sur les récidives enregistrée par Fail2Ban (seuil basé sur 10 par défaut). C’est tr�
�s bien sauf que maintenant les « pirates » sont plus malins en changeant régulièrement d’IP…

Et/ou s’appuyer sur des sites de RBL (https://www.dnsbl.info/dnsbl-list.php) en faisant référence à ces sites dans ta configuration SMTP. Le bloc du Debugo (https://blog.debugo.f) fourni une très bonne documentation sur la façon de configurer une
service Postfix/Dovecot et ça peux t’aider (https://blog.debugo.fr/serveur-messagerie-complet-postfix-dovecot-ldap-rspamd/)

Courage

Le 30 sept. 2024 à 00:51, Bernard Bass <bernard.bass@visionduweb.com> a écrit :

Bonjour,

Je cherche un sysadmin à l'aise avec les IP et les masques de sous réseau, une partie que je digère très mal, pour identifier la plage IP de mon visiteur.

Mon serveur reçoit un bot toutes les deux minutes, qui se retrouve sur une page erreur 403.
Cela entraîne des logs, mais surtout, un mail à chaque visite de la page 403 (C'est le but souhaité avec la page personnalisée.)

Maintenant, j'aimerais pouvoir interdire à ce visiteur régulier de polluer mes logs et ma boîte mail.
Le soucis, c'est qu'il visite le site avec la même IP, deux fois, puis, il change d'IP.

Voilà les IP listées pour exemple :

Bloquer une plage d'adresse IP avec Fail2ban et Nftables.

Une seule IP Deux IP Deux IP Deux IP Deux IP Deux IP Trois IP
147.185.133.97 47.128.25.253 47.128.112.206 47.128.21.18 47.128.51.45 47.128.126.24
47.128.117.162 47.128.41.49 47.128.123.15 47.128.47.113 47.128.53.22 47.128.117.142
47.128.41.134 47.128.99.77 47.128.54.44 47.128.127.131 47.128.48.80
47.128.54.40 47.128.44.78 47.128.56.179 47.128.54.65 47.128.56.182
47.128.51.59 47.128.35.68 47.128.38.83
47.128.45.115 47.128.112.189
47.128.41.185
47.128.45.110
47.128.98.3
47.128.112.255

Pouvez vous me donner votre avis, si il est possible de définir une plage IP à bloquer, et, si oui, comment faire ?

Passer la tolérance de Fail2ban de 3 erreurs à 2 erreurs me semble trop radical, cela pourrait bloquer un visiteur légitime pour peu qu'il fasse 2 fois la même fausse manip qui pourrait l'envoyer vers une page 403. Il subirait alors un ban, ce n'

est pas ce que je cherche.

J'aimerais comprendre pourquoi c'est ce type d'IP 47.128.xx.xx qui ressort à chaque fois, et, si il est possible de définir une plage IP.

J'aimerais alors pouvoir interdire la consultation du serveur avec reject, et non pas drop, pour cette plage d'adresse IP.
Si je ne me trompe pas, avec drop, le serveur continue de répondre, et, redirige le visiteur interdit vers une page 403, donc, envoi d'un mail.
Avec reject le serveur ne répondra plus.

Pouvez vous me donner votre avis pour gérer ce visiteur ?

--
Pierre Malard
Responsable architectures système CDS DINAMIS/THEIA Montpellier
IRD - UMR Espace-Dev - UAR CPST - IR Data-Terra
Maison de la Télédétection
500 rue Jean-François Breton
34093 Montpellier Cx 5
France

Tél : +33 626 89 22 68

« La vérité ne triomphe jamais, mais ses ennemis finissent
toujours par mourir... »
Max Placnk (1858-1947)
|\ _,,,---,,_
/,`.-'`' -. ;-;;,_
|,4- ) )-,_. ,\ ( `'-'
'---''(_/--' `-'\_) πr

perl -e '$_=q#: 3|\ 5_,3-3,2_: 3/,`.'"'"'`'"'"' 5-. ;-;;,_: |,A- ) )-,_. ,\ ( `'"'"'-'"'"': '"'"'-3'"'"'2(_/--'"'"' `-'"'"'\_): 24πr::#;y#:#\n#;s#(\D)(\d+)#$1x$2#ge;print'
- --> Ce message n’engage que son auteur <--

--Apple-Mail=_60F0107B-080A-4EB5-9DF0-ED1EA60ED2BB
Content-Transfer-Encoding: quoted-printable
Content-Type: text/html;
charset=utf-8

<html><head><meta http-equiv="Content-Type" content="text/html; charset=utf-8"></head><body style="word-wrap: break-word; -webkit-nbsp-mode: space; line-break: after-white-space;" class="">Bonjour,<div class=""><br class=""></div><div class="">C’est
une plaie récurrente mais tu peux avoir une aide via des listes d’IP/réseaux connus comme sur :</div><div class=""><div class=""><ul class=""><li class=""><a href="https://www.openbl.org/lists/all.txt" class="">https://www.openbl.org/lists/all.txt</a>
</li><li class=""><a href="https://lists.blocklist.de/lists/all.txt" class="">https://lists.blocklist.de/lists/all.txt</a></li><li class=""><a href="https://rules.emergingthreats.net/blockrules/compromised-ips.txt" class="">https://rules.emergingthreats.
net/blockrules/compromised-ips.txt</a></li><li class=""><a href="https://rules.emergingthreats.net/fwrules/emerging-Block-IPs.txt" class="">https://rules.emergingthreats.net/fwrules/emerging-Block-IPs.txt</a></li><li class="">…</li></ul></div></div><
div class="">(liste non exhaustive)</div><div class=""><br class=""></div><div class="">Tu peux y ajouter ta propre liste. Avec ton exemple 47.128, c’est un service amazon sur un masque de réseau classe B (47.128.0.0/16) qu’il faudrait blacklister.
Il est vrai que ces gros fournisseurs d’accès sont peu regardants sur ce que tu fais derrière… Mais il faut savoir qu’il y a peut-être des bons dans ces mauvais.</div><div class=""><br class=""></div><div class="">Le principe c’est de concaté
rer les listes d’IP/Net de ces listes et les bloquer via « ipset ». ce qui bloque ces IPs au dessus de Fail2Ban en les bloquant définitivement.</div><div class=""><br class=""></div><div class="">Il y a aussi un petit Python très bien sur&
nbsp;<a href="https://github.com/egrisel/ban-them" class="">https://github.com/egrisel/ban-them</a>. Il tient une petite base de données des IP à bloquer définitivement en se basant sur les récidives enregistrée par <font color="#000000" class="
">Fail2Ban (seuil basé sur 10 par défaut). C’est très bien sauf que maintenant les « pirates » sont plus malins en changeant régulièrement d’IP…</font></div><div class=""><br class=""></div><div class="">Et/ou s’appuyer sur
des sites de RBL (<a href="https://www.dnsbl.info/dnsbl-list.php" class="">https://www.dnsbl.info/dnsbl-list.php</a>) en faisant référence à ces sites dans ta configuration SMTP. Le bloc du Debugo (<span style="caret-color: rgb(0, 0, 0); color: rgb(0,
0, 0);" class=""><a href="https://blog.debugo.f" class="">https://blog.debugo.f</a></span>) fourni une très bonne documentation sur la façon de configurer une service Postfix/Dovecot et ça peux t’aider (<a href="https://blog.debugo.fr/serveur-
messagerie-complet-postfix-dovecot-ldap-rspamd/" class="">https://blog.debugo.fr/serveur-messagerie-complet-postfix-dovecot-ldap-rspamd/</a>)</div><div class=""><br class=""></div><div class="">Courage</div><div class=""><br class=""><div><br class=""><
blockquote type="cite" class=""><div class="">Le 30 sept. 2024 à 00:51, Bernard Bass <<a href="mailto:bernard.bass@visionduweb.com" class="">bernard.bass@visionduweb.com</a>> a écrit :</div><br class="Apple-interchange-newline"><div class="">

<meta http-equiv="content-type" content="text/html; charset=UTF-8" class="">

<div text="#000000" bgcolor="#929292" class=""><p class="">Bonjour,<br class="">
<br class="">
Je cherche un sysadmin à l'aise avec les IP et les masques de sous
réseau, une partie que je digère très mal, pour identifier la
plage IP de mon visiteur.<br class="">
</p><p class="">Mon serveur reçoit un bot toutes les deux minutes, qui se
retrouve sur une page erreur 403.<br class="">
Cela entraîne des logs, mais surtout, un mail à chaque visite de
la page 403 (C'est le but souhaité avec la page personnalisée.)</p><p class="">Maintenant, j'aimerais pouvoir interdire à ce visiteur régulier
de polluer mes logs et ma boîte mail.<br class="">
Le soucis, c'est qu'il visite le site avec la même IP, deux fois,
puis, il change d'IP.</p><p class="">Voilà les IP listées pour exemple :</p><p class="">Bloquer une plage d'adresse IP avec Fail2ban et Nftables.</p>
<table style="border-collapse: collapse; width: 100%; height: 249.6px;" border="1" class="">
<colgroup class=""><col style="width: 14,28%;" class=""><col style="width: 14,28%;" class=""><col style="width: 14,28%;" class=""><col style="width: 14,28%;" class=""><col style="width: 14,28%;" class=""><col style="width: 14,28%;" class=""><col
style="width: 14,28%;" class=""></colgroup>
<tbody class="">
<tr style="height: 20.8px;" class="">
<td style="height: 20.8px;" class="">Une seule IP</td>
<td style="height: 20.8px;" class="">Deux IP</td>
<td style="height: 20.8px;" class="">Deux IP</td>
<td style="height: 20.8px;" class="">Deux IP</td>
<td style="height: 20.8px;" class="">Deux IP</td>
<td style="height: 20.8px;" class="">Deux IP</td>
<td style="height: 20.8px;" class="">Trois IP</td>
</tr>
<tr style="height: 20.8px;" class="">
<td style="height: 20.8px;" class="">147.185.133.97</td>
<td style="height: 20.8px;" class="">47.128.25.253</td>
<td style="height: 20.8px;" class="">47.128.112.206</td>
<td style="height: 20.8px;" class="">47.128.21.18</td>
<td style="height: 20.8px;" class="">47.128.51.45</td>
<td style="height: 20.8px;" class="">47.128.126.24</td>
<td style="height: 20.8px;" class=""> </td>
</tr>
<tr style="height: 20.8px;" class="">
<td style="height: 20.8px;" class="">47.128.117.162</td>
<td style="height: 20.8px;" class="">47.128.41.49</td>
<td style="height: 20.8px;" class="">47.128.123.15</td>
<td style="height: 20.8px;" class="">47.128.47.113</td>
<td style="height: 20.8px;" class="">47.128.53.22</td>
<td style="height: 20.8px;" class="">47.128.117.142</td>
<td style="height: 20.8px;" class=""> </td>
</tr>
<tr style="height: 20.8px;" class="">
<td style="height: 20.8px;" class=""> </td>
<td style="height: 20.8px;" class="">47.128.41.134</td>
<td style="height: 20.8px;" class="">47.128.99.77</td>
<td style="height: 20.8px;" class="">47.128.54.44</td>
<td style="height: 20.8px;" class="">47.128.127.131</td>
<td style="height: 20.8px;" class="">47.128.48.80</td>
<td style="height: 20.8px;" class=""> </td>
</tr>
<tr style="height: 20.8px;" class="">
<td style="height: 20.8px;" class=""> </td>
<td style="height: 20.8px;" class="">47.128.54.40</td>
<td style="height: 20.8px;" class="">47.128.44.78</td>
<td style="height: 20.8px;" class="">47.128.56.179</td>
<td style="height: 20.8px;" class="">47.128.54.65</td>
<td style="height: 20.8px;" class="">47.128.56.182</td>
<td style="height: 20.8px;" class=""> </td>
</tr>
<tr style="height: 20.8px;" class="">
<td style="height: 20.8px;" class=""> </td>
<td style="height: 20.8px;" class="">47.128.51.59</td>
<td style="height: 20.8px;" class="">47.128.35.68</td>
<td style="height: 20.8px;" class="">47.128.38.83</td>
<td style="height: 20.8px;" class=""> </td>
<td style="height: 20.8px;" class=""> </td>
<td style="height: 20.8px;" class=""> </td>
</tr>
<tr style="height: 20.8px;" class="">
<td style="height: 20.8px;" class=""> </td>
<td style="height: 20.8px;" class="">47.128.45.115</td>
<td style="height: 20.8px;" class="">47.128.112.189</td>
<td style="height: 20.8px;" class=""> </td>
<td style="height: 20.8px;" class=""> </td>
<td style="height: 20.8px;" class=""> </td>
<td style="height: 20.8px;" class=""> </td>
</tr>
<tr style="height: 20.8px;" class="">
<td style="height: 20.8px;" class=""> </td>
<td style="height: 20.8px;" class="">47.128.41.185</td>
<td style="height: 20.8px;" class=""> </td>
<td style="height: 20.8px;" class=""> </td>
<td style="height: 20.8px;" class=""> </td>
<td style="height: 20.8px;" class=""> </td>
<td style="height: 20.8px;" class=""> </td>
</tr>
<tr style="height: 20.8px;" class="">
<td style="height: 20.8px;" class=""> </td>
<td style="height: 20.8px;" class="">47.128.45.110</td>
<td style="height: 20.8px;" class=""> </td>
<td style="height: 20.8px;" class=""> </td>
<td style="height: 20.8px;" class=""> </td>
<td style="height: 20.8px;" class=""> </td>
<td style="height: 20.8px;" class=""> </td>
</tr>
<tr style="height: 20.8px;" class="">
<td style="height: 20.8px;" class=""> </td>
<td style="height: 20.8px;" class="">47.128.98.3</td>
<td style="height: 20.8px;" class=""> </td>
<td style="height: 20.8px;" class=""> </td>
<td style="height: 20.8px;" class=""> </td>
<td style="height: 20.8px;" class=""> </td>
<td style="height: 20.8px;" class=""> </td>
</tr>
<tr style="height: 20.8px;" class="">
<td style="height: 20.8px;" class=""> </td>
<td style="height: 20.8px;" class="">47.128.112.255</td>
<td style="height: 20.8px;" class=""> </td>
<td style="height: 20.8px;" class=""> </td>
<td style="height: 20.8px;" class=""> </td>
<td style="height: 20.8px;" class=""> </td>
<td style="height: 20.8px;" class=""> </td>
</tr>
<tr style="height: 20.8px;" class="">
<td style="height: 20.8px;" class=""> </td>
<td style="height: 20.8px;" class=""> </td>
<td style="height: 20.8px;" class=""> </td>
<td style="height: 20.8px;" class=""> </td>
<td style="height: 20.8px;" class=""> </td>
<td style="height: 20.8px;" class=""> </td>
<td style="height: 20.8px;" class=""> </td>
</tr>
</tbody>
</table><p class=""> Pouvez vous me donner votre avis, si il est possible de définir
une plage IP à bloquer, et, si oui, comment faire ?<br class="">
<br class="">
Passer la tolérance de Fail2ban de 3 erreurs à 2 erreurs me semble
trop radical, cela pourrait bloquer un visiteur légitime pour peu
qu'il fasse 2 fois la même fausse manip qui pourrait l'envoyer
vers une page 403. Il subirait alors un ban, ce n'est pas ce que
je cherche.</p><p class=""><b class="">J'aimerais comprendre pourquoi c'est ce type d'IP 47.128.xx.xx
qui ressort à chaque fois, et, si il est possible de définir une
plage IP.</b><br class="">
<br class="">
J'aimerais alors pouvoir interdire la consultation du serveur avec
reject, et non pas drop, pour cette plage d'adresse IP.<br class="">
Si je ne me trompe pas, avec drop, le serveur continue de
répondre, et, redirige le visiteur interdit vers une page 403,
donc, envoi d'un mail.<br class="">
Avec reject le serveur ne répondra plus.<br class="">
<br class="">
Pouvez vous me donner votre avis pour gérer ce visiteur ?<br class="">
</p><div class=""><br class="webkit-block-placeholder"></div>
</div>

</div></blockquote></div><br class=""><div class="">
<div dir="auto" style="caret-color: rgb(0, 0, 0); color: rgb(0, 0, 0); letter-spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-text-stroke-width: 0px; text-decoration: none; word-
wrap: break-word; -webkit-nbsp-mode: space; line-break: after-white-space;" class=""><div dir="auto" style="caret-color: rgb(0, 0, 0); color: rgb(0, 0, 0); letter-spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space:
normal; word-spacing: 0px; -webkit-text-stroke-width: 0px; text-decoration: none; word-wrap: break-word; -webkit-nbsp-mode: space; line-break: after-white-space;" class=""><div dir="auto" style="caret-color: rgb(0, 0, 0); color: rgb(0, 0, 0); letter-
spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-text-stroke-width: 0px; text-decoration: none; word-wrap: break-word; -webkit-nbsp-mode: space; line-break: after-white-space;"
class=""><div dir="auto" style="caret-color: rgb(0, 0, 0); color: rgb(0, 0, 0); letter-spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-text-stroke-width: 0px; text-decoration:
none; word-wrap: break-word; -webkit-nbsp-mode: space; line-break: after-white-space;" class=""><div style="color: rgb(0, 0, 0); letter-spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px; -
webkit-text-stroke-width: 0px; word-wrap: break-word; -webkit-nbsp-mode: space; line-break: after-white-space;" class=""><div style="color: rgb(0, 0, 0); letter-spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space:
normal; word-spacing: 0px; -webkit-text-stroke-width: 0px; word-wrap: break-word; -webkit-nbsp-mode: space; line-break: after-white-space;" class=""><div style="margin: 0px; font-size: 10px; font-family: "Courier New";" class="">-- </div><
div style="margin: 0px; font-size: 10px; font-family: "Courier New";" class=""><div style="margin: 0px;" class="">Pierre Malard</div><div style="margin: 0px;" class="">Responsable architectures système CDS DINAMIS/THEIA Montpellier</div><span
style="font-size: x-small;" class="">IRD - UMR Espace-Dev - UAR CPST - IR Data-Terra</span><br class=""><div style="margin: 0px;" class="">Maison de la Télédétection</div><div style="margin: 0px;" class="">500 rue Jean-François Breton</div><div style=
"margin: 0px;" class="">34093 Montpellier Cx 5</div><div style="margin: 0px;" class="">France</div><div class=""><br class=""></div><div class=""><div style="margin: 0px;" class="">Tél : +33 626 89 22 68</div></div><div class=""><br class=""></div></div>
<div style="margin: 0px; font-family: Times;" class="">   « <i class="">La vérité ne triomphe jamais, mais ses ennemis finissent</i></div><div style="margin: 0px; font-family: Times;" class=""><i class="">    toujours par&
nbsp;mourir.</i>.. »</div><div style="margin: 0px; font-family: Times;" class="">                                                
  Max Placnk (1858-1947)</div><div style="margin: 0px; font-size: 10px; font-family: "Courier New";" class="">   |\      _,,,---,,_</div><div style="margin: 0px; font-size: 10px; font-family: "
Courier New";" class="">   /,`.-'`'    -.  ;-;;,_</div><div style="margin: 0px; font-size: 10px; font-family: "Courier New";" class="">  |,4-  ) )-,_. ,\ (  `'-'</div><
div style="margin: 0px; font-size: 10px; font-family: "Courier New";" class=""> '---''(_/--'  `-'\_)   πr</div><div style="margin: 0px; font-size: 9px; font-family: Monaco; min-height: 12px;" class=""><br class=""></div><
div style="margin: 0px; font-size: 10px; font-family: "Courier New";" class="">perl -e '$_=q#: 3|\ 5_,3-3,2_: 3/,`.'"'"'`'"'"' 5-.  ;-;;,_:  |,A-  ) )-,_. ,\ (  `'"'"'-'"'"': '"'"'-3'"'"'2(_/--'"'"'  `-'"'"'\_): 24πr::#
;y#:#\n#;s#(\D)(\d+)#$1x$2#ge;print'</div><div style="margin: 0px; font-family: "Courier New";" class=""><span style="font-size: 10px;" class="">- --> Ce message n’engage que son auteur <--</span></div></div></div></div></div></div></

</div>

<br class=""></div></body></html> --Apple-Mail=_60F0107B-080A-4EB5-9DF0-ED1EA60ED2BB--

-----BEGIN PGP SIGNATURE-----
Version: GnuPG/MacGPG2 v2.2
Comment: GPGTools - http://gpgtools.org

iQIzBAEBCgAdFiEE0KHTJ+AWKhmI+acm/pSWHuad/BgFAmb6OzEACgkQ/pSWHuad /BgxSw/9ERC2/FvAa0SfxsDQ/48ir4bb5Fl3UDAPholhcNNUpmf46pvaYDfoeqIo smIPDz0QT26nX5hqnhm/OLjd3HFb/jvvHlbD9kRa+Z8YzYcYjBi9nZ2X90D2Qnhg 7KCiR/ik/nzHiCjLkax1WZPEQdgAYictzocw2r8WoOtrkKEDHt6BT9DwP/nPlvyh mtZ7DipaqcaK3isG+mzJ8umFhDOydnPxj783QvtRROP8ApEAmDs1ZnNIuk3HextZ hrlSqniXG7VjwNgufCJlH64IXIFry/BGCxmr9JPLZD+J0p8WlaCNat5ErIIF3zCr vt+iqcWRIh3m9OIXZ/pVnTOgAMicu7tl+lzJF82E9Bmy30u1PwDRoTlpcm2T5oK+ nwV/PkaOH+rYWDnLbSw/zF0Kiglvxa4/50tF/viHReGIc/bUYGdTbZyYTW0jFNgJ lvnjQ63i5tg5PdREvszsiNrbHFW222fk7ifIrXInh2spjL5GAvGzNB4d/kwgEuP+ OvcjheszYIC/ZfqRDkjlUAqCoZ9V3wLRFgdNkCN7t/u/eAshogKBr36cWZPOc0JE lHA8S2zjK+faFVYfFOku8R7lXT52JvenblskwGyeZmfVZv0QRrK9fxAB/byGkM3w 2onQ9fMUar0RrCdmKYde5KNeiwU26TpUhJUDNwPpx1m9L/FGioQ=
=f2H+
-----END PGP SIGNATURE-----

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

From Michel Verdier@21:1/5 to All on Mon Sep 30 11:10:01 2024

Le 30 septembre 2024 Bernard Bass a écrit :

147.185.133.97 47.128.25.253 47.128.112.206 47.128.21.18 47.128.51.45
47.128.126.24
47.128.117.162 47.128.41.49 47.128.123.15 47.128.47.113 47.128.53.22
47.128.117.142

*J'aimerais comprendre pourquoi c'est ce type d'IP 47.128.xx.xx qui ressort à
chaque fois, et, si il est possible de définir une plage IP.*

Tu peux utiliser whois et ipcalc (paquets du même nom) si tu veux
facilement trouver des plages. Par exemple :

$ ipcalc 47.128.25.253 - 47.128.127.131
deaggregate 47.128.25.253 - 47.128.127.131
47.128.25.253/32
47.128.25.254/31
47.128.26.0/23
47.128.28.0/22
47.128.32.0/19
47.128.64.0/19
47.128.96.0/20
47.128.112.0/21
47.128.120.0/22
47.128.124.0/23
47.128.126.0/24
47.128.127.0/25
47.128.127.128/30

Pour cette tranche :

$ whois 47.128.126.24
[...]
NetRange: 47.128.0.0 - 47.131.255.255
CIDR: 47.128.0.0/14
NetName: AMAZON-SIN
NetHandle: NET-47-128-0-0-2
Parent: AT-88-Z (NET-47-128-0-0-1)
NetType: Reallocated
OriginAS:
Organization: Amazon Data Services Singapore (ADSS-3)

Donc si tu n'as personne à Singapour tu peux blacklister complètement
les tranches que tu veux ou même tout 47.128.0.0/14

$ whois 147.185.133.97
[...]
NetRange: 147.185.132.0 - 147.185.139.255
CIDR: 147.185.136.0/22, 147.185.132.0/22
NetName: PAN-22
NetHandle: NET-147-185-132-0-1
Parent: NET147 (NET-147-0-0-0-0)
NetType: Direct Allocation
OriginAS:
Organization: Palo Alto Networks, Inc (PAN-22)

Palo Alto fait partie des scanners soit-disant pour la sécurité, ils se proclament même "leader mondial de la cybersécurité". Tu peux blacklister aussi.

J'aimerais alors pouvoir interdire la consultation du serveur avec reject, et non pas drop, pour cette plage d'adresse IP.
Si je ne me trompe pas, avec drop, le serveur continue de répondre, et, redirige le visiteur interdit vers une page 403, donc, envoi d'un mail.
Avec reject le serveur ne répondra plus.

Avec reject il est averti que ça bloque et change d'IP. Ca ne fait que déplacer le problème. Perso je fais des drop, mais en entrée du réseau,
en ingress ou prerouting, donc ça n'arrive jamais aux applis. Mais je ne
sais pas si on peut faire ça avec fail2ban.

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

From Bernard Bass@21:1/5 to All on Mon Sep 30 11:50:01 2024

This is a multi-part message in MIME format.
Bonjour,

Merci Pierre pour ta réponse très précise, comme toujours, je vais
consulter les références indiquées.

NB : Je n'utilise pas Postfix/Dovecot, mais, cela doit pouvoir s'adapter
pour EXIM4.

A défaut, je vais tenter d'avancer avec Nftables avec les informations
qui ont été partagées pour bloquer cette plage IP.

Cordialement,

Bernard Bass

Le 30/09/2024 à 07:46, Pierre Malard a écrit :

Bonjour,

C’est une plaie récurrente mais tu peux avoir une aide via des listes d’IP/réseaux connus comme sur :

* https://www.openbl.org/lists/all.txt
* https://lists.blocklist.de/lists/all.txt
* https://rules.emergingthreats.net/blockrules/compromised-ips.txt
* https://rules.emergingthreats.net/fwrules/emerging-Block-IPs.txt
* …

(liste non exhaustive)

Tu peux y ajouter ta propre liste. Avec ton exemple 47.128, c’est un service amazon sur un masque de réseau classe B (47.128.0.0/16) qu’il faudrait blacklister. Il est vrai que ces gros fournisseurs d’accès
sont peu regardants sur ce que tu fais derrière… Mais il faut savoir qu’il y a peut-être des bons dans ces mauvais.

Le principe c’est de concatérer les listes d’IP/Net de ces listes et
les bloquer via « ipset ». ce qui bloque ces IPs au dessus de Fail2Ban
en les bloquant définitivement.

Il y a aussi un petit Python très bien sur https://github.com/egrisel/ban-them. Il tient une petite base de
données des IP à bloquer définitivement en se basant sur les récidives enregistrée par Fail2Ban (seuil basé sur 10 par défaut). C’est très bien sauf que maintenant les « pirates » sont plus malins en changeant régulièrement d’IP…

Et/ou s’appuyer sur des sites de RBL (https://www.dnsbl.info/dnsbl-list.php) en faisant référence à ces
sites dans ta configuration SMTP. Le bloc du Debugo
(https://blog.debugo.f) fourni une très bonne documentation sur la
façon de configurer une service Postfix/Dovecot et ça peux t’aider (https://blog.debugo.fr/serveur-messagerie-complet-postfix-dovecot-ldap-rspamd/)

Courage

--
Pierre Malard
Responsable architectures système CDS DINAMIS/THEIA Montpellier
IRD - UMR Espace-Dev - UAR CPST - IR Data-Terra
Maison de la Télédétection
500 rue Jean-François Breton
34093 Montpellier Cx 5
France

Tél : +33 626 89 22 68

« /La vérité ne triomphe jamais, mais ses ennemis finissent/
/   toujours par mourir./.. »
Max Placnk (1858-1947)
   |\   _,,,---,,_
   /,`.-'`'   -.  ;-;;,_
  |,4-  ) )-,_. ,\ (  `'-'
'---''(_/--'  `-'\_) πr

perl -e '$_=q#: 3|\ 5_,3-3,2_: 3/,`.'"'"'`'"'"' 5-. ;-;;,_: |,A- ) )-,_. ,\ ( `'"'"'-'"'"': '"'"'-3'"'"'2(_/--'"'"' `-'"'"'\_): 24πr::#;y#:#\n#;s#(\D)(\d+)#$1x$2#ge;print'
- --> Ce message n’engage que son auteur <--

<!DOCTYPE html>
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
</head>
<body text="#000000" bgcolor="#929292">
<p>Bonjour,<br>
<br>
Merci Pierre pour ta réponse très précise, comme toujours, je vais
consulter les références indiquées.</p>
<p>NB : Je n'utilise pas Postfix/Dovecot, mais, cela doit pouvoir
s'adapter pour EXIM4.<br>
<br>
A défaut, je vais tenter d'avancer avec Nftables avec les
informations qui ont été partagées pour bloquer cette plage IP.<br>
<br>
Cordialement,<br>
<br>
Bernard Bass<br>
<br>
</p>
<div class="moz-cite-prefix">Le 30/09/2024 à 07:46, Pierre Malard a
écrit :<br>
</div>
<blockquote type="cite"
cite="mid:311907DA-C0AD-446C-BA10-2D6AEDFE504F@teledetection.fr">
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
Bonjour,
<div class=""><br class="">
</div>
<div class="">C’est une plaie récurrente mais tu peux avoir une
aide via des listes d’IP/réseaux connus comme sur :</div>
<div class="">
<div class="">
<ul class="">
<li class=""><a href="https://www.openbl.org/lists/all.txt"
class="moz-txt-link-freetext" moz-do-not-send="true">https://www.openbl.org/lists/all.txt</a></li>
<li class=""><a
href="https://lists.blocklist.de/lists/all.txt"
class="moz-txt-link-freetext" moz-do-not-send="true">https://lists.blocklist.de/lists/all.txt</a></li>
<li class=""><a href="https://rules.emergingthreats.net/blockrules/compromised-ips.txt"
class="moz-txt-link-freetext" moz-do-not-send="true">https://rules.emergingthreats.net/blockrules/compromised-ips.txt</a></li>
<li class=""><a href="https://rules.emergingthreats.net/fwrules/emerging-Block-IPs.txt"
class="moz-txt-link-freetext" moz-do-not-send="true">https://rules.emergingthreats.net/fwrules/emerging-Block-IPs.txt</a></li>
<li class="">…</li>
</ul>
</div>
</div>
<div class="">(liste non exhaustive)</div>
<div class=""><br class="">
</div>
<div class="">Tu peux y ajouter ta propre liste. Avec ton exemple
47.128, c’est un service amazon sur un masque de réseau classe B
(47.128.0.0/16) qu’il faudrait blacklister. Il est vrai que ces
gros fournisseurs d’accès sont peu regardants sur ce que tu fais
derrière… Mais il faut savoir qu’il y a peut-être des bons dans
ces mauvais.</div>
<div class=""><br class="">
</div>
<div class="">Le principe c’est de concatérer les listes d’IP/Net
de ces listes et les bloquer via « ipset ». ce qui bloque ces
IPs au dessus de Fail2Ban en les bloquant définitivement.</div>
<div class=""><br class="">
</div>
<div class="">Il y a aussi un petit Python très bien sur <a
href="https://github.com/egrisel/ban-them"
class="moz-txt-link-freetext" moz-do-not-send="true">https://github.com/egrisel/ban-them</a>.
Il tient une petite base de données des IP à bloquer
définitivement en se basant sur les récidives enregistrée par <font
class="" color="#000000">Fail2Ban (seuil basé sur 10 par
défaut). C’est très bien sauf que maintenant les « pirates »
sont plus malins en changeant régulièrement d’IP…</font></div>
<div class=""><br class="">
</div>
<div class="">Et/ou s’appuyer sur des sites de RBL (<a
href="https://www.dnsbl.info/dnsbl-list.php"
class="moz-txt-link-freetext" moz-do-not-send="true">https://www.dnsbl.info/dnsbl-list.php</a>)
en faisant référence à ces sites dans ta configuration SMTP. Le
bloc du Debugo (<span
style="caret-color: rgb(0, 0, 0); color: rgb(0, 0, 0);"
class=""><a href="https://blog.debugo.f"
class="moz-txt-link-freetext" moz-do-not-send="true">https://blog.debugo.f</a></span>)
fourni une très bonne documentation sur la façon de configurer
une service Postfix/Dovecot et ça peux t’aider (<a href="https://blog.debugo.fr/serveur-messagerie-complet-postfix-dovecot-ldap-rspamd/"
class="moz-txt-link-freetext" moz-do-not-send="true">https://blog.debugo.fr/serveur-messagerie-complet-postfix-dovecot-ldap-rspamd/</a>)</div>
<div class=""><br class="">
</div>
<div class="">Courage</div>
<div class=""><br class="">
<br class="">
<div class="">
<div dir="auto"
style="caret-color: rgb(0, 0, 0); color: rgb(0, 0, 0); letter-spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-text-stroke-width: 0px; text-decoration: none; word-wrap: break-word;
-webkit-nbsp-mode: space; line-break: after-white-space;"
class="">
<div dir="auto"
style="caret-color: rgb(0, 0, 0); color: rgb(0, 0, 0); letter-spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-text-stroke-width: 0px; text-decoration: none; word-wrap: break-word;
-webkit-nbsp-mode: space; line-break: after-white-space;"
class="">
<div dir="auto"
style="caret-color: rgb(0, 0, 0); color: rgb(0, 0, 0); letter-spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-text-stroke-width: 0px; text-decoration: none; word-wrap: break-word;
-webkit-nbsp-mode: space; line-break: after-white-space;"
class="">
<div dir="auto"
style="caret-color: rgb(0, 0, 0); color: rgb(0, 0, 0); letter-spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-text-stroke-width: 0px; text-decoration: none; word-wrap: break-word;
-webkit-nbsp-mode: space; line-break: after-white-space;"
class="">
<div
style="color: rgb(0, 0, 0); letter-spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-text-stroke-width: 0px; word-wrap: break-word; -webkit-nbsp-mode: space; line-break: after-
white-space;"
class="">
<div
style="color: rgb(0, 0, 0); letter-spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-text-stroke-width: 0px; word-wrap: break-word; -webkit-nbsp-mode: space; line-break: after-
white-space;"
class="">
<div
style="margin: 0px; font-size: 10px; font-family: "Courier New";"
class="">-- </div>
<div
style="margin: 0px; font-size: 10px; font-family: "Courier New";"
class="">
<div style="margin: 0px;" class="">Pierre Malard</div>
<div style="margin: 0px;" class="">Responsable
architectures système CDS DINAMIS/THEIA
Montpellier</div>
<span style="font-size: x-small;" class="">IRD -
UMR Espace-Dev - UAR CPST - IR Data-Terra</span><br
class="">
<div style="margin: 0px;" class="">Maison de la
Télédétection</div>
<div style="margin: 0px;" class="">500 rue
Jean-François Breton</div>
<div style="margin: 0px;" class="">34093
Montpellier Cx 5</div>
<div style="margin: 0px;" class="">France</div>
<div class=""><br class="">
</div>
<div class="">
<div style="margin: 0px;" class="">Tél : +33
626 89 22 68</div>
</div>
<div class=""><br class="">
</div>
</div>
<div style="margin: 0px; font-family: Times;"
class=""> « <i class="">La vérité ne triomphe
jamais, mais ses ennemis finissent</i></div>
<div style="margin: 0px; font-family: Times;"
class=""><i class="">   toujours par mourir.</i>..
»</div>
<div style="margin: 0px; font-family: Times;"
class="">
Max Placnk (1858-1947)</div>
<div
style="margin: 0px; font-size: 10px; font-family: "Courier New";"
class="">   |\   _,,,---,,_</div>
<div
style="margin: 0px; font-size: 10px; font-family: "Courier New";"
class="">   /,`.-'`'   -.  ;-;;,_</div>
<div
style="margin: 0px; font-size: 10px; font-family: "Courier New";"
class="">  |,4-  ) )-,_. ,\ (  `'-'</div>
<div
style="margin: 0px; font-size: 10px; font-family: "Courier New";"
class=""> '---''(_/--'  `-'\_) πr</div>
<div
style="margin: 0px; font-size: 9px; font-family: Monaco; min-height: 12px;"
class=""><br class="">
</div>
<div
style="margin: 0px; font-size: 10px; font-family: "Courier New";"
class="">perl -e '$_=q#: 3|\ 5_,3-3,2_:
3/,`.'"'"'`'"'"' 5-. ;-;;,_: |,A- ) )-,_. ,\
( `'"'"'-'"'"': '"'"'-3'"'"'2(_/--'"'"'
`-'"'"'\_):
24πr::#;y#:#\n#;s#(\D)(\d+)#$1x$2#ge;print'</div>
<div
style="margin: 0px; font-family: "Courier New";" class=""><span
style="font-size: 10px;" class="">- --> Ce
message n’engage que son auteur <--</span></div>
</div>
</div>
</div>
</div>
</div>
</div>
</div>
<br class="">
</div>
</blockquote>
</body>
</html>

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

From Bernard Bass@21:1/5 to All on Mon Sep 30 12:20:01 2024

This is a multi-part message in MIME format.
Bonjour Michel,

Merci pour ta réponse très intéressante, je comprend en lecture
diagonale mais je reste perdu dans la façon d'aborder la chose.

Comment a tu choisi cette plage d'IP, la deuxième adresse
47.128.127.131, je ne la vois pas dans ma liste. ipcalc 47.128.25.253 - 47.128.127.131

Premier bon réflexe, j'aurais du penser a faire le whois par moi même, mauvais réflexe, j'ai demandé à Google qui ne m'a pas permis de trouver l'origine de l'émetteur.
whois 47.128.126.24 Donc si tu n'as personne à Singapour tu peux
blacklister complètement les tranches que tu veux ou même tout
47.128.0.0/14 Normalement non, personne à Singapour, mais, les
informations présentes sur mon wiki peuvent tout de même intéresser un éventuel sysop de Singapoor, si seulement il arrive a trouver le chemin
vers le site.

Palo Alto fait partie des scanners soit-disant pour la sécurité, ils se proclament même "leader mondial de la cybersécurité". Tu peux
blacklister aussi. Comment identifier la plage IP à bloquer, je dois
utiliser les deux plages CIDR proposées par le whois ?

whois 147.185.133.97
[...]
NetRange: 147.185.132.0 - 147.185.139.255
CIDR: 147.185.136.0/22, 147.185.132.0/22

Cordialement,

Le 30/09/2024 à 11:01, Michel Verdier a écrit :

Le 30 septembre 2024 Bernard Bass a écrit :

147.185.133.97 47.128.25.253 47.128.112.206 47.128.21.18 47.128.51.45
47.128.126.24
47.128.117.162 47.128.41.49 47.128.123.15 47.128.47.113 47.128.53.22
47.128.117.142
*J'aimerais comprendre pourquoi c'est ce type d'IP 47.128.xx.xx qui ressort à
chaque fois, et, si il est possible de définir une plage IP.*

Tu peux utiliser whois et ipcalc (paquets du même nom) si tu veux
facilement trouver des plages. Par exemple :

$ ipcalc 47.128.25.253 - 47.128.127.131
deaggregate 47.128.25.253 - 47.128.127.131
47.128.25.253/32
47.128.25.254/31
47.128.26.0/23
47.128.28.0/22
47.128.32.0/19
47.128.64.0/19
47.128.96.0/20
47.128.112.0/21
47.128.120.0/22
47.128.124.0/23
47.128.126.0/24
47.128.127.0/25
47.128.127.128/30

Pour cette tranche :

$ whois 47.128.126.24
[...]
NetRange: 47.128.0.0 - 47.131.255.255
CIDR: 47.128.0.0/14
NetName: AMAZON-SIN
NetHandle: NET-47-128-0-0-2
Parent: AT-88-Z (NET-47-128-0-0-1)
NetType: Reallocated
OriginAS:
Organization: Amazon Data Services Singapore (ADSS-3)

Donc si tu n'as personne à Singapour tu peux blacklister complètement
les tranches que tu veux ou même tout 47.128.0.0/14

$ whois 147.185.133.97
[...]
NetRange: 147.185.132.0 - 147.185.139.255
CIDR: 147.185.136.0/22, 147.185.132.0/22
NetName: PAN-22
NetHandle: NET-147-185-132-0-1
Parent: NET147 (NET-147-0-0-0-0)
NetType: Direct Allocation
OriginAS:
Organization: Palo Alto Networks, Inc (PAN-22)

Palo Alto fait partie des scanners soit-disant pour la sécurité, ils se proclament même "leader mondial de la cybersécurité". Tu peux blacklister aussi.

J'aimerais alors pouvoir interdire la consultation du serveur avec reject, et
non pas drop, pour cette plage d'adresse IP.
Si je ne me trompe pas, avec drop, le serveur continue de répondre, et,
redirige le visiteur interdit vers une page 403, donc, envoi d'un mail.
Avec reject le serveur ne répondra plus.

Avec reject il est averti que ça bloque et change d'IP. Ca ne fait que déplacer le problème. Perso je fais des drop, mais en entrée du réseau, en ingress ou prerouting, donc ça n'arrive jamais aux applis. Mais je ne sais pas si on peut faire ça avec fail2ban.

<!DOCTYPE html>
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
</head>
<body text="#000000" bgcolor="#929292">
<p>Bonjour Michel,<br>
<br>
Merci pour ta réponse très intéressante, je comprend en lecture
diagonale mais je reste perdu dans la façon d'aborder la chose.<br>
<br>
<br>
Comment a tu choisi cette plage d'IP, la deuxième adresse <span
style="white-space: pre-wrap">47.128.127.131, je ne la vois pas dans ma liste.
</span><span style="white-space: pre-wrap">ipcalc 47.128.25.253 - 47.128.127.131<span
style="white-space: normal"></span></span></p>
<p>Premier bon réflexe, j'aurais du penser a faire le whois par moi
même, mauvais réflexe, j'ai demandé à Google qui ne m'a pas permis
de trouver l'origine de l'émetteur.<br>
<span style="white-space: pre-wrap">whois 47.128.126.24

Donc si tu n'as personne à Singapour tu peux blacklister complètement </span><span
style="white-space: pre-wrap">les tranches que tu veux ou même tout 47.128.0.0/14
Normalement non, personne à Singapour, mais, les informations présentes sur mon wiki peuvent tout de même intéresser un éventuel sysop de Singapoor, si seulement il arrive a trouver le chemin vers le site.

</span></p>
<p><span style="white-space: pre-wrap">Palo Alto fait partie des scanners soit-disant pour la sécurité, ils se </span><span
style="white-space: pre-wrap">proclament même "leader mondial de la cybersécurité". Tu peux blacklister </span><span
style="white-space: pre-wrap">aussi.
Comment identifier la plage IP à bloquer, je dois utiliser les deux plages CIDR proposées par le whois ?
</span></p>
<pre class="moz-quote-pre" wrap="">whois 147.185.133.97
[...]
NetRange: 147.185.132.0 - 147.185.139.255
CIDR: 147.185.136.0/22, 147.185.132.0/22</pre>
<p></p>
<p><br>
Cordialement,<br>
<br>
</p>
<div class="moz-cite-prefix">Le 30/09/2024 à 11:01, Michel Verdier a
écrit :<br>
</div>
<blockquote type="cite" cite="mid:87ikudpmbi.fsf@free.fr">
<pre class="moz-quote-pre" wrap="">Le 30 septembre 2024 Bernard Bass a écrit :

</pre>
<blockquote type="cite">
<pre class="moz-quote-pre" wrap="">147.185.133.97 47.128.25.253 47.128.112.206 47.128.21.18 47.128.51.45
47.128.126.24
47.128.117.162 47.128.41.49 47.128.123.15 47.128.47.113 47.128.53.22 47.128.117.142
</pre>
</blockquote>
<pre class="moz-quote-pre" wrap="">
</pre>
<blockquote type="cite">
<pre class="moz-quote-pre" wrap="">*J'aimerais comprendre pourquoi c'est ce type d'IP 47.128.xx.xx qui ressort à
chaque fois, et, si il est possible de définir une plage IP.*
</pre>
</blockquote>
<pre class="moz-quote-pre" wrap="">
Tu peux utiliser whois et ipcalc (paquets du même nom) si tu veux
facilement trouver des plages. Par exemple :

$ ipcalc 47.128.25.253 - 47.128.127.131
deaggregate 47.128.25.253 - 47.128.127.131
47.128.25.253/32
47.128.25.254/31
47.128.26.0/23
47.128.28.0/22
47.128.32.0/19
47.128.64.0/19
47.128.96.0/20
47.128.112.0/21
47.128.120.0/22
47.128.124.0/23
47.128.126.0/24
47.128.127.0/25
47.128.127.128/30

Pour cette tranche :

$ whois 47.128.126.24
[...]
NetRange: 47.128.0.0 - 47.131.255.255
CIDR: 47.128.0.0/14
NetName: AMAZON-SIN
NetHandle: NET-47-128-0-0-2
Parent: AT-88-Z (NET-47-128-0-0-1)
NetType: Reallocated
OriginAS:
Organization: Amazon Data Services Singapore (ADSS-3)

Donc si tu n'as personne à Singapour tu peux blacklister complètement
les tranches que tu veux ou même tout 47.128.0.0/14

$ whois 147.185.133.97
[...]
NetRange: 147.185.132.0 - 147.185.139.255
CIDR: 147.185.136.0/22, 147.185.132.0/22
NetName: PAN-22
NetHandle: NET-147-185-132-0-1
Parent: NET147 (NET-147-0-0-0-0)
NetType: Direct Allocation
OriginAS:
Organization: Palo Alto Networks, Inc (PAN-22)

Palo Alto fait partie des scanners soit-disant pour la sécurité, ils se proclament même "leader mondial de la cybersécurité". Tu peux blacklister aussi.

</pre>
<blockquote type="cite">
<pre class="moz-quote-pre" wrap="">J'aimerais alors pouvoir interdire la consultation du serveur avec reject, et
non pas drop, pour cette plage d'adresse IP.
Si je ne me trompe pas, avec drop, le serveur continue de répondre, et, redirige le visiteur interdit vers une page 403, donc, envoi d'un mail.
Avec reject le serveur ne répondra plus.
</pre>
</blockquote>
<pre class="moz-quote-pre" wrap="">
Avec reject il est averti que ça bloque et change d'IP. Ca ne fait que déplacer le problème. Perso je fais des drop, mais en entrée du réseau,
en ingress ou prerouting, donc ça n'arrive jamais aux applis. Mais je ne
sais pas si on peut faire ça avec fail2ban.

</pre>
</blockquote>
</body>
</html>

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

From Pierre Malard@21:1/5 to All on Mon Sep 30 18:20:01 2024

--Apple-Mail=_D83DE97A-B2EF-45F2-9DD4-F4A6D1258BDB
Content-Transfer-Encoding: quoted-printable
Content-Type: text/plain;
charset=utf-8

Bonjour,

J’avais réagit trop vite en lisant « mail », désolé. Il s’agissait d’Apache qui était touché.

Ceci étant, Fail2Ban est une très bonne solution pour tous les services ouverts. La limite à 2 ou 3 récidives est paramétrable selon le service.

Le principe de Fail2Ban est d’y aller petit à petit :
3 récidives : blocage de 15 mn
3 nouvelles après la levée du blocage : blocage 30 mn
Et ainsi de suite…
Pour ceux qui insistent la solution « ban-them » qui est définitive sur un IP fonctionne bien mais, à mon sens, ne suffit pas pour ceux qui insistent.

On a alors la possibilité d’utiliser les serveurs de black lists, RBL ou DSNBL et une liste personnelle pour exclure ces mauvais joueurs. Mais il est préférable de le faire « à la racine » sur toute nouvelle connexion sur le service. Il existe
des logiciels vendus pour ça mais le principe était exposé dans ma réponse.

A+

Le 30 sept. 2024 à 11:24, Bernard Bass <bernard.bass@visionduweb.com> a écrit :

Bonjour,

Merci Pierre pour ta réponse très précise, comme toujours, je vais consulter les références indiquées.

NB : Je n'utilise pas Postfix/Dovecot, mais, cela doit pouvoir s'adapter pour EXIM4.

A défaut, je vais tenter d'avancer avec Nftables avec les informations qui ont été partagées pour bloquer cette plage IP.

Cordialement,

Bernard Bass

Le 30/09/2024 à 07:46, Pierre Malard a écrit :

Bonjour,

C’est une plaie récurrente mais tu peux avoir une aide via des listes d’IP/réseaux connus comme sur :
https://www.openbl.org/lists/all.txt <https://www.openbl.org/lists/all.txt> >> https://lists.blocklist.de/lists/all.txt <https://lists.blocklist.de/lists/all.txt>
https://rules.emergingthreats.net/blockrules/compromised-ips.txt <https://rules.emergingthreats.net/blockrules/compromised-ips.txt>
https://rules.emergingthreats.net/fwrules/emerging-Block-IPs.txt <https://rules.emergingthreats.net/fwrules/emerging-Block-IPs.txt>
…
(liste non exhaustive)

Tu peux y ajouter ta propre liste. Avec ton exemple 47.128, c’est un service amazon sur un masque de réseau classe B (47.128.0.0/16) qu’il faudrait blacklister. Il est vrai que ces gros fournisseurs d’accès sont peu regardants sur ce que tu

fais derrière… Mais il faut savoir qu’il y a peut-être des bons dans ces mauvais.

Le principe c’est de concatérer les listes d’IP/Net de ces listes et les bloquer via « ipset ». ce qui bloque ces IPs au dessus de Fail2Ban en les bloquant définitivement.

Il y a aussi un petit Python très bien sur https://github.com/egrisel/ban-them <https://github.com/egrisel/ban-them>. Il tient une petite base de données des IP à bloquer définitivement en se basant sur les récidives enregistrée par Fail2Ban (

seuil basé sur 10 par défaut). C’est très bien sauf que maintenant les « pirates » sont plus malins en changeant régulièrement d’IP…

Et/ou s’appuyer sur des sites de RBL (https://www.dnsbl.info/dnsbl-list.php <https://www.dnsbl.info/dnsbl-list.php>) en faisant référence à ces sites dans ta configuration SMTP. Le bloc du Debugo (https://blog.debugo.f <https://blog.debugo.f/>)

fourni une très bonne documentation sur la façon de configurer une service Postfix/Dovecot et ça peux t’aider (https://blog.debugo.fr/serveur-messagerie-complet-postfix-dovecot-ldap-rspamd/ <https://blog.debugo.fr/serveur-messagerie-complet-postfix-
dovecot-ldap-rspamd/>)

Courage

--
Pierre Malard

« La vérité ne triomphe jamais, mais ses ennemis finissent
toujours par mourir... »
Max Placnk (1858-1947)
|\ _,,,---,,_
/,`.-'`' -. ;-;;,_
|,4- ) )-,_. ,\ ( `'-'
'---''(_/--' `-'\_) πr

perl -e '$_=q#: 3|\ 5_,3-3,2_: 3/,`.'"'"'`'"'"' 5-. ;-;;,_: |,A- ) )-,_. ,\ ( `'"'"'-'"'"': '"'"'-3'"'"'2(_/--'"'"' `-'"'"'\_): 24πr::#;y#:#\n#;s#(\D)(\d+)#$1x$2#ge;print'
- --> Ce message n’engage que son auteur <--

--
Pierre Malard
Responsable architectures système CDS DINAMIS/THEIA Montpellier
IRD - UMR Espace-Dev - UAR CPST - IR Data-Terra
Maison de la Télédétection
500 rue Jean-François Breton
34093 Montpellier Cx 5
France

Tél : +33 626 89 22 68

« Tous les Français ambitionnent pour la France un grand rôle
dans le monde. Ce n'est point par des aventures guerrières qu'elle
le trouvera, c'est en donnant aux peuples l'exemple et le signal
de justice. »
Jean Jaures - "L'idéal de justice" - 1889
|\ _,,,---,,_
/,`.-'`' -. ;-;;,_
|,4- ) )-,_. ,\ ( `'-'
'---''(_/--' `-'\_) πr

perl -e '$_=q#: 3|\ 5_,3-3,2_: 3/,`.'"'"'`'"'"' 5-. ;-;;,_: |,A- ) )-,_. ,\ ( `'"'"'-'"'"': '"'"'-3'"'"'2(_/--'"'"' `-'"'"'\_): 24πr::#;y#:#\n#;s#(\D)(\d+)#$1x$2#ge;print'
- --> Ce message n’engage que son auteur <--

--Apple-Mail=_D83DE97A-B2EF-45F2-9DD4-F4A6D1258BDB
Content-Transfer-Encoding: quoted-printable
Content-Type: text/html;
charset=utf-8

<html><head><meta http-equiv="Content-Type" content="text/html; charset=utf-8"></head><body style="word-wrap: break-word; -webkit-nbsp-mode: space; line-break: after-white-space;" class="">Bonjour,<div class=""><br class=""></div><div class="">J’avais
réagit trop vite en lisant « mail », désolé. Il s’agissait d’Apache qui était touché.</div><div class=""><br class=""></div><div class="">Ceci étant, Fail2Ban est une très bonne solution pour tous les services ouverts. La limite à
2 ou 3 récidives est paramétrable selon le service.</div><div class=""><br class=""></div><div class="">Le principe de Fail2Ban est d’y aller petit à petit :</div><div class=""><ul class=""><li class="">3 récidives : blocage de 15 mn</li><li class="
">3 nouvelles après la levée du blocage : blocage 30 mn</li><li class="">Et ainsi de suite…</li></ul></div><div class="">Pour ceux qui insistent la solution « ban-them » qui est définitive sur un IP fonctionne bien mais, à mon sens, ne
suffit pas pour ceux qui insistent.</div><div class=""><br class=""></div><div class="">On a alors la possibilité d’utiliser les serveurs de black lists, RBL ou DSNBL et une liste personnelle pour exclure ces mauvais joueurs. Mais il est préférable
de le faire « à la racine » sur toute nouvelle connexion sur le service. Il existe des logiciels vendus pour ça mais le principe était exposé dans ma réponse.</div><div class=""><br class=""></div><div class="">A+</div><div class=""><br
class=""></div><div class=""><br class=""></div><div class=""><br class=""><div><br class=""><blockquote type="cite" class=""><div class="">Le 30 sept. 2024 à 11:24, Bernard Bass <<a href="mailto:bernard.bass@visionduweb.com" class="">bernard.bass@
visionduweb.com</a>> a écrit :</div><br class="Apple-interchange-newline"><div class="">

<meta http-equiv="Content-Type" content="text/html; charset=UTF-8" class="">

<div text="#000000" bgcolor="#929292" class=""><p class="">Bonjour,<br class="">
<br class="">
Merci Pierre pour ta réponse très précise, comme toujours, je vais
consulter les références indiquées.</p><p class="">NB : Je n'utilise pas Postfix/Dovecot, mais, cela doit pouvoir
s'adapter pour EXIM4.<br class="">
<br class="">
A défaut, je vais tenter d'avancer avec Nftables avec les
informations qui ont été partagées pour bloquer cette plage IP.<br class="">
<br class="">
Cordialement,<br class="">
<br class="">
Bernard Bass<br class="">
<br class="">
</p>
<div class="moz-cite-prefix">Le 30/09/2024 à 07:46, Pierre Malard a
écrit :<br class="">
</div>
<blockquote type="cite" cite="mid:311907DA-C0AD-446C-BA10-2D6AEDFE504F@teledetection.fr" class="">
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8" class="">
Bonjour,
<div class=""><br class="">
</div>
<div class="">C’est une plaie récurrente mais tu peux avoir une
aide via des listes d’IP/réseaux connus comme sur :</div>
<div class="">
<div class="">
<ul class="">
<li class=""><a href="https://www.openbl.org/lists/all.txt" class="moz-txt-link-freetext" moz-do-not-send="true">https://www.openbl.org/lists/all.txt</a></li>
<li class=""><a href="https://lists.blocklist.de/lists/all.txt" class="moz-txt-link-freetext" moz-do-not-send="true">https://lists.blocklist.de/lists/all.txt</a></li>
<li class=""><a href="https://rules.emergingthreats.net/blockrules/compromised-ips.txt" class="moz-txt-link-freetext" moz-do-not-send="true">https://rules.emergingthreats.net/blockrules/compromised-ips.txt</a></li>
<li class=""><a href="https://rules.emergingthreats.net/fwrules/emerging-Block-IPs.txt" class="moz-txt-link-freetext" moz-do-not-send="true">https://rules.emergingthreats.net/fwrules/emerging-Block-IPs.txt</a></li>
<li class="">…</li>
</ul>
</div>
</div>
<div class="">(liste non exhaustive)</div>
<div class=""><br class="">
</div>
<div class="">Tu peux y ajouter ta propre liste. Avec ton exemple
47.128, c’est un service amazon sur un masque de réseau classe B
(47.128.0.0/16) qu’il faudrait blacklister. Il est vrai que ces
gros fournisseurs d’accès sont peu regardants sur ce que tu fais
derrière… Mais il faut savoir qu’il y a peut-être des bons dans
ces mauvais.</div>
<div class=""><br class="">
</div>
<div class="">Le principe c’est de concatérer les listes d’IP/Net
de ces listes et les bloquer via « ipset ». ce qui bloque ces
IPs au dessus de Fail2Ban en les bloquant définitivement.</div>
<div class=""><br class="">
</div>
<div class="">Il y a aussi un petit Python très bien sur <a href="https://github.com/egrisel/ban-them" class="moz-txt-link-freetext" moz-do-not-send="true">https://github.com/egrisel/ban-them</a>.
Il tient une petite base de données des IP à bloquer
définitivement en se basant sur les récidives enregistrée par <font class="">Fail2Ban (seuil basé sur 10 par
défaut). C’est très bien sauf que maintenant les « pirates »
sont plus malins en changeant régulièrement d’IP…</font></div>
<div class=""><br class="">
</div>
<div class="">Et/ou s’appuyer sur des sites de RBL (<a href="https://www.dnsbl.info/dnsbl-list.php" class="moz-txt-link-freetext" moz-do-not-send="true">https://www.dnsbl.info/dnsbl-list.php</a>)
en faisant référence à ces sites dans ta configuration SMTP. Le
bloc du Debugo (<span style="caret-color: rgb(0, 0, 0);" class=""><a href="https://blog.debugo.f/" class="moz-txt-link-freetext" moz-do-not-send="true">https://blog.debugo.f</a></span>)
fourni une très bonne documentation sur la façon de configurer
une service Postfix/Dovecot et ça peux t’aider (<a href="https://blog.debugo.fr/serveur-messagerie-complet-postfix-dovecot-ldap-rspamd/" class="moz-txt-link-freetext" moz-do-not-send="true">https://blog.debugo.fr/serveur-messagerie-complet-
postfix-dovecot-ldap-rspamd/</a>)</div>
<div class=""><br class="">
</div>
<div class="">Courage</div>
<div class=""><br class="">
<br class="">
<div class="">
<div dir="auto" style="caret-color: rgb(0, 0, 0); letter-spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-text-stroke-width: 0px; text-decoration: none; word-wrap: break-
word; -webkit-nbsp-mode: space; line-break: after-white-space;" class="">
<div dir="auto" style="caret-color: rgb(0, 0, 0); letter-spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-text-stroke-width: 0px; text-decoration: none; word-wrap:
break-word; -webkit-nbsp-mode: space; line-break: after-white-space;" class="">
<div dir="auto" style="caret-color: rgb(0, 0, 0); letter-spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-text-stroke-width: 0px; text-decoration: none; word-wrap:
break-word; -webkit-nbsp-mode: space; line-break: after-white-space;" class="">
<div dir="auto" style="caret-color: rgb(0, 0, 0); letter-spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-text-stroke-width: 0px; text-decoration: none; word-wrap:
break-word; -webkit-nbsp-mode: space; line-break: after-white-space;" class="">
<div style="letter-spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-text-stroke-width: 0px; word-wrap: break-word; -webkit-nbsp-mode: space; line-break: after-
white-space;" class="">
<div style="letter-spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-text-stroke-width: 0px; word-wrap: break-word; -webkit-nbsp-mode: space; line-break: after-
white-space;" class="">
<div style="margin: 0px; font-size: 10px; font-family: "Courier New";" class="">-- </div>
<div style="margin: 0px; font-size: 10px; font-family: "Courier New";" class="">
<div style="margin: 0px;" class="">Pierre Malard</div><div class="">
</div>
<div class=""><br class="">
</div>
</div>
<div style="margin: 0px; font-family: Times;" class="">   « <i class="">La vérité ne triomphe
jamais, mais ses ennemis finissent</i></div>
<div style="margin: 0px; font-family: Times;" class=""><i class="">    toujours par mourir.</i>..
»</div>
<div style="margin: 0px; font-family: Times;" class="">                                      
            Max Placnk (1858-1947)</div>
<div style="margin: 0px; font-size: 10px; font-family: "Courier New";" class="">   |\      _,,,---,,_</div>
<div style="margin: 0px; font-size: 10px; font-family: "Courier New";" class="">   /,`.-'`'    -.  ;-;;,_</div>
<div style="margin: 0px; font-size: 10px; font-family: "Courier New";" class="">  |,4-  ) )-,_. ,\ (  `'-'</div>
<div style="margin: 0px; font-size: 10px; font-family: "Courier New";" class=""> '---''(_/--'  `-'\_)   πr</div>
<div style="margin: 0px; font-size: 9px; font-family: Monaco; min-height: 12px;" class=""><br class="">
</div>
<div style="margin: 0px; font-size: 10px; font-family: "Courier New";" class="">perl -e '$_=q#: 3|\ 5_,3-3,2_:
3/,`.'"'"'`'"'"' 5-.  ;-;;,_:  |,A-  ) )-,_. ,\
(  `'"'"'-'"'"': '"'"'-3'"'"'2(_/--'"'"'
 `-'"'"'\_):
24πr::#;y#:#\n#;s#(\D)(\d+)#$1x$2#ge;print'</div>
<div style="margin: 0px; font-family: "Courier New";" class=""><span style="font-size: 10px;" class="">- --> Ce
message n’engage que son auteur <--</span></div>
</div>
</div>
</div>
</div>
</div>
</div>
</div>
<br class="">
</div>
</blockquote>
</div>

</div></blockquote></div><br class=""><div class="">
<div dir="auto" style="caret-color: rgb(0, 0, 0); color: rgb(0, 0, 0); letter-spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-text-stroke-width: 0px; text-decoration: none; word-
wrap: break-word; -webkit-nbsp-mode: space; line-break: after-white-space;" class=""><div dir="auto" style="caret-color: rgb(0, 0, 0); color: rgb(0, 0, 0); letter-spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space:
normal; word-spacing: 0px; -webkit-text-stroke-width: 0px; text-decoration: none; word-wrap: break-word; -webkit-nbsp-mode: space; line-break: after-white-space;" class=""><div dir="auto" style="caret-color: rgb(0, 0, 0); color: rgb(0, 0, 0); letter-
spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-text-stroke-width: 0px; text-decoration: none; word-wrap: break-word; -webkit-nbsp-mode: space; line-break: after-white-space;"
class=""><div dir="auto" style="caret-color: rgb(0, 0, 0); color: rgb(0, 0, 0); letter-spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-text-stroke-width: 0px; text-decoration:
none; word-wrap: break-word; -webkit-nbsp-mode: space; line-break: after-white-space;" class=""><div style="color: rgb(0, 0, 0); letter-spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px; -
webkit-text-stroke-width: 0px; word-wrap: break-word; -webkit-nbsp-mode: space; line-break: after-white-space;" class=""><div style="color: rgb(0, 0, 0); letter-spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space:
normal; word-spacing: 0px; -webkit-text-stroke-width: 0px; word-wrap: break-word; -webkit-nbsp-mode: space; line-break: after-white-space;" class=""><div style="color: rgb(0, 0, 0); letter-spacing: normal; text-align: start; text-indent: 0px; text-
transform: none; white-space: normal; word-spacing: 0px; -webkit-text-stroke-width: 0px; word-wrap: break-word; -webkit-nbsp-mode: space; line-break: after-white-space;" class=""><div style="margin: 0px; font-size: 10px; font-family: "Courier New&
quot;;" class="">-- </div><div style="margin: 0px; font-size: 10px; font-family: "Courier New";" class=""><div style="margin: 0px;" class="">Pierre Malard</div><div style="margin: 0px;" class="">Responsable architectures système CDS
DINAMIS/THEIA Montpellier</div><span style="font-size: x-small;" class="">IRD - UMR Espace-Dev - UAR CPST - IR Data-Terra</span><br class=""><div style="margin: 0px;" class="">Maison de la Télédétection</div><div style="margin: 0px;" class="">500 rue
Jean-François Breton</div><div style="margin: 0px;" class="">34093 Montpellier Cx 5</div><div style="margin: 0px;" class="">France</div><div class=""><br class=""></div><div class=""><div style="margin: 0px;" class="">Tél : +33 626 89 22 68</div></div><
div class=""><br class=""></div></div><div style="margin: 0px; font-family: Times;" class="">   «<span class="Apple-converted-space"> </span><i class="">Tous les Français ambitionnent pour la France un grand rôle</i></div><div style="
margin: 0px; font-family: Times;" class=""><i class="">   dans le monde. Ce n'est point par des aventures guerrières qu'elle</i></div><div style="margin: 0px; font-family: Times;" class=""><i class="">   le trouvera, c'est en donnant
aux peuples l'exemple et le signal</i></div><div style="margin: 0px; font-family: Times;" class=""><i class="">   de justice.<span class="Apple-converted-space"> </span></i>»</div><div style="margin: 0px; font-family: Times;" class="">&
nbsp;                                           Jean Jaures - "L'idéal de justice" - 1889</div><div style="margin: 0px; font-size: 10px; font-
family: "Courier New";" class="">   |\      _,,,---,,_</div><div style="margin: 0px; font-size: 10px; font-family: "Courier New";" class="">   /,`.-'`'    -.  ;-;;,_
</div><div style="margin: 0px; font-size: 10px; font-family: "Courier New";" class="">  |,4-  ) )-,_. ,\ (  `'-'</div><div style="margin: 0px; font-size: 10px; font-family: "Courier New";" class=""> '
---''(_/--'  `-'\_)   πr</div><div style="margin: 0px; font-family: Times; min-height: 14px;" class=""><br class=""></div><div style="margin: 0px; font-size: 10px; font-family: "Courier New";" class="">perl -e '$_=q#: 3|\ 5_,3-3,
2_: 3/,`.'"'"'`'"'"' 5-.  ;-;;,_:  |,A-  ) )-,_. ,\ (  `'"'"'-'"'"': '"'"'-3'"'"'2(_/--'"'"'  `-'"'"'\_): 24πr::#;y#:#\n#;s#(\D)(\d+)#$1x$2#ge;print'</div><div style="margin: 0px; font-family: "Courier New";" class=""><
span style="font-size: 10px;" class="">- --> Ce message n’engage que son auteur <--</span></div></div></div></div></div></div></div></div>
</div>

<br class=""></div></body></html> --Apple-Mail=_D83DE97A-B2EF-45F2-9DD4-F4A6D1258BDB--

-----BEGIN PGP SIGNATURE-----
Version: GnuPG/MacGPG2 v2.2
Comment: GPGTools - http://gpgtools.org

iQIzBAEBCgAdFiEE0KHTJ+AWKhmI+acm/pSWHuad/BgFAmb6zpIACgkQ/pSWHuad /BhXPA//WeejTiyqVQTYCAOWJGCgll/X8DSMcrFXEqNIe7OhwGQvRhXZBnQ9wvUz 20aT1SUQahwQfh9J/UWLLaziF0TVDZFKOQx1uHFj/o1dIl7QjXDSYhMWCJ7/7oP+ BgqLh6XST3zFz9gLPGZuPUTEmf4jd5IxADys6TEhrvYuSjKPo3Yqh3OfwMHFDh9U zQAqyFq1QbUJEqgO97fpr8uadkCtD0d967Xp8SqFXDJk1bOaDQAEmumEx+ab3xAi N428rv6RlvjjKQQdEAzR/bZWekNuXaVRaX+DzlnyaKuO8bCzhi7+bwj4dhTy+LdO j6VoU/b9DYqp5uN50k7E0lXQKOEtzIpzbMHPEQwoP3jbRiMaHV8DivPiuQULVEFD RiFXtNCMZiRzWL23RbaME1KHjWDeTZ3XyMihC7fo52lBU7w7pMxzrr5Cl+G6jq/M 52YxvKkY7w7va9++PXA+S886nuJkywznsp8I8rjjd8UcpP9LhLBMH0omcXc991FA pqARjCO5/XI8z/iQtCXN0LV+7VZkLuzhucANBC4KqpiqIRV4/acH4R8WCu5vkZXX bwzm5KzYAOcksfNmttQbz596LmB1q7C9YOaYJj1RqmJ5epcWCFPkds7F8AaDoA3m 7gFDC8LeGFXZq1KNsLC7gfrYpo9cDolvKR8Bhk1NG/D/3lhFvww=
=R2TP
-----END PGP SIGNATURE-----

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

From NoSpam@21:1/5 to All on Mon Sep 30 19:00:02 2024

This is a multi-part message in MIME format.
Bonjour. Pour signaler une appli qui remplace parfaitement fail2ban:
reaction https://framagit.org/ppom/reaction

https://blog.ppom.me/fr-reaction/

Le 30/09/2024 à 18:15, Pierre Malard a écrit :

Bonjour,

J’avais réagit trop vite en lisant « mail », désolé. Il s’agissait d’Apache qui était touché.

Ceci étant, Fail2Ban est une très bonne solution pour tous les
services ouverts. La limite à 2 ou 3 récidives est paramétrable selon
le service.

Le principe de Fail2Ban est d’y aller petit à petit :

* 3 récidives : blocage de 15 mn
* 3 nouvelles après la levée du blocage : blocage 30 mn
* Et ainsi de suite…

Pour ceux qui insistent la solution « ban-them » qui est définitive
sur un IP fonctionne bien mais, à mon sens, ne suffit pas pour ceux
qui insistent.

On a alors la possibilité d’utiliser les serveurs de black lists, RBL
ou DSNBL et une liste personnelle pour exclure ces mauvais joueurs.
Mais il est préférable de le faire « à la racine » sur toute nouvelle connexion sur le service. Il existe des logiciels vendus pour ça mais
le principe était exposé dans ma réponse.

A+

Le 30 sept. 2024 à 11:24, Bernard Bass <bernard.bass@visionduweb.com>
a écrit :

Bonjour,

Merci Pierre pour ta réponse très précise, comme toujours, je vais
consulter les références indiquées.

NB : Je n'utilise pas Postfix/Dovecot, mais, cela doit pouvoir
s'adapter pour EXIM4.

A défaut, je vais tenter d'avancer avec Nftables avec les
informations qui ont été partagées pour bloquer cette plage IP.

Cordialement,

Bernard Bass

Le 30/09/2024 à 07:46, Pierre Malard a écrit :

Bonjour,

C’est une plaie récurrente mais tu peux avoir une aide via des
listes d’IP/réseaux connus comme sur :

* https://www.openbl.org/lists/all.txt
* https://lists.blocklist.de/lists/all.txt
* https://rules.emergingthreats.net/blockrules/compromised-ips.txt
* https://rules.emergingthreats.net/fwrules/emerging-Block-IPs.txt
* …

(liste non exhaustive)

Tu peux y ajouter ta propre liste. Avec ton exemple 47.128, c’est un
service amazon sur un masque de réseau classe B (47.128.0.0/16)
qu’il faudrait blacklister. Il est vrai que ces gros fournisseurs
d’accès sont peu regardants sur ce que tu fais derrière… Mais il
faut savoir qu’il y a peut-être des bons dans ces mauvais.

Le principe c’est de concatérer les listes d’IP/Net de ces listes et >>> les bloquer via « ipset ». ce qui bloque ces IPs au dessus de
Fail2Ban en les bloquant définitivement.

Il y a aussi un petit Python très bien sur
https://github.com/egrisel/ban-them. Il tient une petite base de
données des IP à bloquer définitivement en se basant sur les
récidives enregistrée par Fail2Ban (seuil basé sur 10 par défaut).
C’est très bien sauf que maintenant les « pirates » sont plus malins
en changeant régulièrement d’IP…

Et/ou s’appuyer sur des sites de RBL
(https://www.dnsbl.info/dnsbl-list.php) en faisant référence à ces
sites dans ta configuration SMTP. Le bloc du Debugo
(https://blog.debugo.f) fourni une très bonne documentation sur la
façon de configurer une service Postfix/Dovecot et ça peux t’aider
(https://blog.debugo.fr/serveur-messagerie-complet-postfix-dovecot-ldap-rspamd/)

Courage

--
Pierre Malard

« /La vérité ne triomphe jamais, mais ses ennemis finissent/
/ toujours par mourir./.. »
Max Placnk (1858-1947)
   |\   _,,,---,,_
   /,`.-'`'   -.  ;-;;,_
  |,4-  ) )-,_. ,\ (  `'-'
'---''(_/--'  `-'\_) πr

perl -e '$_=q#: 3|\ 5_,3-3,2_: 3/,`.'"'"'`'"'"' 5-. ;-;;,_: |,A-
) )-,_. ,\ ( `'"'"'-'"'"': '"'"'-3'"'"'2(_/--'"'"' `-'"'"'\_):
24πr::#;y#:#\n#;s#(\D)(\d+)#$1x$2#ge;print'
- --> Ce message n’engage que son auteur <--

--
Pierre Malard
Responsable architectures système CDS DINAMIS/THEIA Montpellier
IRD - UMR Espace-Dev - UAR CPST - IR Data-Terra
Maison de la Télédétection
500 rue Jean-François Breton
34093 Montpellier Cx 5
France

Tél : +33 626 89 22 68

«/Tous les Français ambitionnent pour la France un grand rôle/
/ dans le monde. Ce n'est point par des aventures guerrières qu'elle/ / le trouvera, c'est en donnant aux peuples l'exemple et le signal/
/ de justice./»
Jean Jaures - "L'idéal de justice" - 1889
|\   _,,,---,,_
   /,`.-'`'   -.  ;-;;,_
  |,4-  ) )-,_. ,\ (  `'-'
'---''(_/--'  `-'\_) πr

perl -e '$_=q#: 3|\ 5_,3-3,2_: 3/,`.'"'"'`'"'"' 5-. ;-;;,_: |,A- ) )-,_. ,\ ( `'"'"'-'"'"': '"'"'-3'"'"'2(_/--'"'"' `-'"'"'\_): 24πr::#;y#:#\n#;s#(\D)(\d+)#$1x$2#ge;print'
- --> Ce message n’engage que son auteur <--

<!DOCTYPE html>
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
</head>
<body>
<p>Bonjour. Pour signaler une appli qui remplace parfaitement
fail2ban: reaction <a class="moz-txt-link-freetext" href="https://framagit.org/ppom/reaction">https://framagit.org/ppom/reaction</a></p>
<p><a class="moz-txt-link-freetext" href="https://blog.ppom.me/fr-reaction/">https://blog.ppom.me/fr-reaction/</a><br>
</p>
<div class="moz-cite-prefix">Le 30/09/2024 à 18:15, Pierre Malard a
écrit :<br>
</div>
<blockquote type="cite"
cite="mid:5B1AB784-4972-4953-A8CA-AFAC15177E2F@teledetection.fr">
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
Bonjour,
<div class=""><br class="">
</div>
<div class="">J’avais réagit trop vite en lisant « mail », désolé.
Il s’agissait d’Apache qui était touché.</div>
<div class=""><br class="">
</div>
<div class="">Ceci étant, Fail2Ban est une très bonne solution
pour tous les services ouverts. La limite à 2 ou 3 récidives est
paramétrable selon le service.</div>
<div class=""><br class="">
</div>
<div class="">Le principe de Fail2Ban est d’y aller petit à petit
:</div>
<div class="">
<ul class="">
<li class="">3 récidives : blocage de 15 mn</li>
<li class="">3 nouvelles après la levée du blocage : blocage
30 mn</li>
<li class="">Et ainsi de suite…</li>
</ul>
</div>
<div class="">Pour ceux qui insistent la solution « ban-them » qui
est définitive sur un IP fonctionne bien mais, à mon sens, ne
suffit pas pour ceux qui insistent.</div>
<div class=""><br class="">
</div>
<div class="">On a alors la possibilité d’utiliser les serveurs de
black lists, RBL ou DSNBL et une liste personnelle pour exclure
ces mauvais joueurs. Mais il est préférable de le faire « à la
racine » sur toute nouvelle connexion sur le service. Il existe
des logiciels vendus pour ça mais le principe était exposé dans
ma réponse.</div>
<div class=""><br class="">
</div>
<div class="">A+</div>
<div class=""><br class="">
</div>
<div class=""><br class="">
</div>
<div class=""><br class="">
<div><br class="">
<blockquote type="cite" class="">
<div class="">Le 30 sept. 2024 à 11:24, Bernard Bass <<a
href="mailto:bernard.bass@visionduweb.com"
class="moz-txt-link-freetext" moz-do-not-send="true">bernard.bass@visionduweb.com</a>>
a écrit :</div>
<br class="Apple-interchange-newline">
<div class="">
<meta http-equiv="Content-Type"
content="text/html; charset=UTF-8" class="">
<div text="#000000" bgcolor="#929292" class="">
<p class="">Bonjour,<br class="">
<br class="">
Merci Pierre pour ta réponse très précise, comme
toujours, je vais consulter les références indiquées.</p>
<p class="">NB : Je n'utilise pas Postfix/Dovecot, mais,
cela doit pouvoir s'adapter pour EXIM4.<br class="">
<br class="">
A défaut, je vais tenter d'avancer avec Nftables avec
les informations qui ont été partagées pour bloquer
cette plage IP.<br class="">
<br class="">
Cordialement,<br class="">
<br class="">
Bernard Bass<br class="">
<br class="">
</p>
<div class="moz-cite-prefix">Le 30/09/2024 à 07:46,
Pierre Malard a écrit :<br class="">
</div>
<blockquote type="cite" cite="mid:311907DA-C0AD-446C-BA10-2D6AEDFE504F@teledetection.fr"
class="">
<meta http-equiv="Content-Type"
content="text/html; charset=UTF-8" class="">
Bonjour,
<div class=""><br class="">
</div>
<div class="">C’est une plaie récurrente mais tu peux
avoir une aide via des listes d’IP/réseaux connus
comme sur :</div>
<div class="">
<div class="">
<ul class="">
<li class=""><a
href="https://www.openbl.org/lists/all.txt"
class="moz-txt-link-freetext"
moz-do-not-send="true">https://www.openbl.org/lists/all.txt</a></li>
<li class=""><a href="https://lists.blocklist.de/lists/all.txt"
class="moz-txt-link-freetext"
moz-do-not-send="true">https://lists.blocklist.de/lists/all.txt</a></li>
<li class=""><a href="https://rules.emergingthreats.net/blockrules/compromised-ips.txt"
class="moz-txt-link-freetext"
moz-do-not-send="true">https://rules.emergingthreats.net/blockrules/compromised-ips.txt</a></li>
<li class=""><a href="https://rules.emergingthreats.net/fwrules/emerging-Block-IPs.txt"
class="moz-txt-link-freetext"
moz-do-not-send="true">https://rules.emergingthreats.net/fwrules/emerging-Block-IPs.txt</a></li>
<li class="">…</li>
</ul>
</div>
</div>
<div class="">(liste non exhaustive)</div>
<div class=""><br class="">
</div>
<div class="">Tu peux y ajouter ta propre liste. Avec
ton exemple 47.128, c’est un service amazon sur un
masque de réseau classe B (47.128.0.0/16) qu’il
faudrait blacklister. Il est vrai que ces gros
fournisseurs d’accès sont peu regardants sur ce que
tu fais derrière… Mais il faut savoir qu’il y a
peut-être des bons dans ces mauvais.</div>
<div class=""><br class="">
</div>
<div class="">Le principe c’est de concatérer les
listes d’IP/Net de ces listes et les bloquer via
« ipset ». ce qui bloque ces IPs au dessus de
Fail2Ban en les bloquant définitivement.</div>
<div class=""><br class="">
</div>
<div class="">Il y a aussi un petit Python très bien
sur <a href="https://github.com/egrisel/ban-them"
class="moz-txt-link-freetext"
moz-do-not-send="true">https://github.com/egrisel/ban-them</a>.
Il tient une petite base de données des IP à bloquer
définitivement en se basant sur les récidives
enregistrée par <font class="">Fail2Ban (seuil basé
sur 10 par défaut). C’est très bien sauf que
maintenant les « pirates » sont plus malins en
changeant régulièrement d’IP…</font></div>
<div class=""><br class="">
</div>
<div class="">Et/ou s’appuyer sur des sites de RBL (<a
href="https://www.dnsbl.info/dnsbl-list.php"
class="moz-txt-link-freetext"
moz-do-not-send="true">https://www.dnsbl.info/dnsbl-list.php</a>)
en faisant référence à ces sites dans ta
configuration SMTP. Le bloc du Debugo (<span
style="caret-color: rgb(0, 0, 0);" class=""><a
href="https://blog.debugo.f/"
class="moz-txt-link-freetext"
moz-do-not-send="true">https://blog.debugo.f</a></span>)
fourni une très bonne documentation sur la façon de
configurer une service Postfix/Dovecot et ça peux
t’aider (<a href="https://blog.debugo.fr/serveur-messagerie-complet-postfix-dovecot-ldap-rspamd/"
class="moz-txt-link-freetext"
moz-do-not-send="true">https://blog.debugo.fr/serveur-messagerie-complet-postfix-dovecot-ldap-rspamd/</a>)</div>
<div class=""><br class="">
</div>
<div class="">Courage</div>
<div class=""><br class="">
<br class="">
<div class="">
<div dir="auto"
style="caret-color: rgb(0, 0, 0); letter-spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-text-stroke-width: 0px; text-decoration: none; word-wrap: break-word; -webkit-nbsp-mode:
space; line-break: after-white-space;"
class="">
<div dir="auto"
style="caret-color: rgb(0, 0, 0); letter-spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-text-stroke-width: 0px; text-decoration: none; word-wrap: break-word; -webkit-nbsp-mode:
space; line-break: after-white-space;"
class="">
<div dir="auto"
style="caret-color: rgb(0, 0, 0); letter-spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-text-stroke-width: 0px; text-decoration: none; word-wrap: break-word; -webkit-nbsp-mode:
space; line-break: after-white-space;"
class="">
<div dir="auto"
style="caret-color: rgb(0, 0, 0); letter-spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-text-stroke-width: 0px; text-decoration: none; word-wrap: break-word; -webkit-nbsp-mode:
space; line-break: after-white-space;"
class="">
<div
style="letter-spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-text-stroke-width: 0px; word-wrap: break-word; -webkit-nbsp-mode: space; line-break: after-white-space;"
class="">
<div
style="letter-spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-text-stroke-width: 0px; word-wrap: break-word; -webkit-nbsp-mode: space; line-break: after-white-space;"
class="">
<div
style="margin: 0px; font-size: 10px; font-family: "Courier New";"
class="">-- </div>
<div
style="margin: 0px; font-size: 10px; font-family: "Courier New";"
class="">
<div style="margin: 0px;" class="">Pierre
Malard</div>
<div class=""> </div>
<div class=""><br class="">
</div>
</div>
<div
style="margin: 0px; font-family: Times;" class=""> « <i class="">La
vérité ne triomphe jamais, mais
ses ennemis finissent</i></div>
<div
style="margin: 0px; font-family: Times;" class=""><i class="">
toujours par mourir.</i>.. »</div>
<div
style="margin: 0px; font-family: Times;" class="">
Max
Placnk (1858-1947)</div>
<div
style="margin: 0px; font-size: 10px; font-family: "Courier New";"
class="">   |\   _,,,---,,_</div>
<div
style="margin: 0px; font-size: 10px; font-family: "Courier New";"
class="">   /,`.-'`'   -.  ;-;;,_</div>
<div
style="margin: 0px; font-size: 10px; font-family: "Courier New";"
class="">  |,4-  ) )-,_. ,\ (  `'-'</div>
<div
style="margin: 0px; font-size: 10px; font-family: "Courier New";"
class=""> '---''(_/--'  `-'\_) πr</div>
<div
style="margin: 0px; font-size: 9px; font-family: Monaco; min-height: 12px;"
class=""><br class="">
</div>
<div
style="margin: 0px; font-size: 10px; font-family: "Courier New";"
class="">perl -e '$_=q#: 3|\
5_,3-3,2_: 3/,`.'"'"'`'"'"' 5-.
;-;;,_: |,A- ) )-,_. ,\ (
`'"'"'-'"'"':
'"'"'-3'"'"'2(_/--'"'"' `-'"'"'\_): 24πr::#;y#:#\n#;s#(\D)(\d+)#$1x$2#ge;print'</div>
<div
style="margin: 0px; font-family: "Courier New";" class=""><span
style="font-size: 10px;" class="">-
--> Ce message n’engage que son
auteur <--</span></div>
</div>
</div>
</div>
</div>
</div>
</div>
</div>
<br class="">
</div>
</blockquote>
</div>
</div>
</blockquote>
</div>
<br class="">
<div class="">
<div dir="auto"
style="caret-color: rgb(0, 0, 0); color: rgb(0, 0, 0); letter-spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-text-stroke-width: 0px; text-decoration: none; word-wrap: break-word;
-webkit-nbsp-mode: space; line-break: after-white-space;"
class="">
<div dir="auto"
style="caret-color: rgb(0, 0, 0); color: rgb(0, 0, 0); letter-spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-text-stroke-width: 0px; text-decoration: none; word-wrap: break-word;
-webkit-nbsp-mode: space; line-break: after-white-space;"
class="">
<div dir="auto"
style="caret-color: rgb(0, 0, 0); color: rgb(0, 0, 0); letter-spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-text-stroke-width: 0px; text-decoration: none; word-wrap: break-word;
-webkit-nbsp-mode: space; line-break: after-white-space;"
class="">
<div dir="auto"
style="caret-color: rgb(0, 0, 0); color: rgb(0, 0, 0); letter-spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-text-stroke-width: 0px; text-decoration: none; word-wrap: break-word;
-webkit-nbsp-mode: space; line-break: after-white-space;"
class="">
<div
style="color: rgb(0, 0, 0); letter-spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-text-stroke-width: 0px; word-wrap: break-word; -webkit-nbsp-mode: space; line-break: after-
white-space;"
class="">
<div
style="color: rgb(0, 0, 0); letter-spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-text-stroke-width: 0px; word-wrap: break-word; -webkit-nbsp-mode: space; line-break: after-
white-space;"
class="">
<div
style="color: rgb(0, 0, 0); letter-spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-text-stroke-width: 0px; word-wrap: break-word; -webkit-nbsp-mode: space; line-break: after-
white-space;"
class="">
<div
style="margin: 0px; font-size: 10px; font-family: "Courier New";"
class="">-- </div>
<div
style="margin: 0px; font-size: 10px; font-family: "Courier New";"
class="">
<div style="margin: 0px;" class="">Pierre
Malard</div>
<div style="margin: 0px;" class="">Responsable
architectures système CDS DINAMIS/THEIA
Montpellier</div>
<span style="font-size: x-small;" class="">IRD
- UMR Espace-Dev - UAR CPST - IR Data-Terra</span><br
class="">
<div style="margin: 0px;" class="">Maison de
la Télédétection</div>
<div style="margin: 0px;" class="">500 rue
Jean-François Breton</div>
<div style="margin: 0px;" class="">34093
Montpellier Cx 5</div>
<div style="margin: 0px;" class="">France</div>
<div class=""><br class="">
</div>
<div class="">
<div style="margin: 0px;" class="">Tél : +33
626 89 22 68</div>
</div>
<div class=""><br class="">
</div>
</div>
<div style="margin: 0px; font-family: Times;"
class=""> «<span
class="Apple-converted-space"> </span><i
class="">Tous les Français ambitionnent pour
la France un grand rôle</i></div>
<div style="margin: 0px; font-family: Times;"
class=""><i class=""> dans le monde. Ce
n'est point par des aventures guerrières
qu'elle</i></div>
<div style="margin: 0px; font-family: Times;"
class=""><i class=""> le trouvera, c'est en
donnant aux peuples l'exemple et le signal</i></div>
<div style="margin: 0px; font-family: Times;"
class=""><i class=""> de justice.<span
class="Apple-converted-space"> </span></i>»</div>
<div style="margin: 0px; font-family: Times;"
class="">
Jean Jaures - "L'idéal de justice" -
1889</div>
<div
style="margin: 0px; font-size: 10px; font-family: "Courier New";"
class=""> |\   _,,,---,,_</div>
<div
style="margin: 0px; font-size: 10px; font-family: "Courier New";"
class="">   /,`.-'`'   -.  ;-;;,_</div>
<div
style="margin: 0px; font-size: 10px; font-family: "Courier New";"
class="">  |,4-  ) )-,_. ,\ (  `'-'</div>
<div
style="margin: 0px; font-size: 10px; font-family: "Courier New";"
class=""> '---''(_/--'  `-'\_) πr</div>
<div
style="margin: 0px; font-family: Times; min-height: 14px;" class=""><br
class="">
</div>
<div
style="margin: 0px; font-size: 10px; font-family: "Courier New";"
class="">perl -e '$_=q#: 3|\ 5_,3-3,2_:
3/,`.'"'"'`'"'"' 5-. ;-;;,_: |,A- ) )-,_.
,\ ( `'"'"'-'"'"': '"'"'-3'"'"'2(_/--'"'"'
`-'"'"'\_):
24πr::#;y#:#\n#;s#(\D)(\d+)#$1x$2#ge;print'</div>
<div
style="margin: 0px; font-family: "Courier New";" class=""><span
style="font-size: 10px;" class="">- -->
Ce message n’engage que son auteur <--</span></div>
</div>
</div>
</div>
</div>
</div>
</div>
</div>
</div>
<br class="">
</div>
</blockquote>
</body>
</html>

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

From jean herbert@21:1/5 to All on Tue Oct 1 09:20:01 2024

probleme de certificat / places chez les spam (2 messages pierre ballard)

Le 30 sept. 2024 à 07:46, Pierre Malard <pierre.malard@teledetection.fr> a écrit :Bonjour,

C’est une plaie récurrente mais tu peux avoir une aide via des listes d’IP/réseaux connus comme sur :
https://www.openbl.org/lists/all.txthttps://lists.blocklist.de/lists/all.txthttps://rules.emergingthreats.net/blockrules/compromised-ips.txthttps://rules.emergingthreats.net/fwrules/emerging-Block-IPs.txt…
(liste non exhaustive)

Tu peux y ajouter ta propre liste. Avec ton exemple 47.128, c’est un service amazon sur un masque de réseau classe B (47.128.0.0/16) qu’il faudrait blacklister. Il est vrai que ces gros fournisseurs d’accès sont peu regardants sur ce que tu fais
derrière… Mais il faut savoir qu’il y a peut-être des bons dans ces mauvais.

Le principe c’est de concatérer les listes d’IP/Net de ces listes et les bloquer via « ipset ». ce qui bloque ces IPs au dessus de Fail2Ban en les bloquant définitivement.

Il y a aussi un petit Python très bien sur https://github.com/egrisel/ban-them. Il tient une petite base de données des IP à bloquer définitivement en se basant sur les récidives enregistrée par Fail2Ban (seuil basé sur 10 par défaut). C’est
très bien sauf que maintenant les « pirates » sont plus malins en changeant régulièrement d’IP…

Et/ou s’appuyer sur des sites de RBL (https://www.dnsbl.info/dnsbl-list.php) en faisant référence à ces sites dans ta configuration SMTP. Le bloc du Debugo (https://blog.debugo.f) fourni une très bonne documentation sur la façon de configurer une
service Postfix/Dovecot et ça peux t’aider (https://blog.debugo.fr/serveur-messagerie-complet-postfix-dovecot-ldap-rspamd/)

Courage

Le 30 sept. 2024 à 00:51, Bernard Bass <bernard.bass@visionduweb.com> a écrit :

Bonjour,

Je cherche un sysadmin à l'aise avec les IP et les masques de sous réseau, une partie que je digère très mal, pour identifier la plage IP de mon visiteur.

Mon serveur reçoit un bot toutes les deux minutes, qui se retrouve sur une page erreur 403.
Cela entraîne des logs, mais surtout, un mail à chaque visite de la page 403 (C'est le but souhaité avec la page personnalisée.)
Maintenant, j'aimerais pouvoir interdire à ce visiteur régulier de polluer mes logs et ma boîte mail.
Le soucis, c'est qu'il visite le site avec la même IP, deux fois, puis, il change d'IP.
Voilà les IP listées pour exemple :
Bloquer une plage d'adresse IP avec Fail2ban et Nftables. Une seule IP Deux IP Deux IP Deux IP Deux IP Deux IP Trois IP 147.185.133.97
47.128.25.253 47.128.112.206 47.128.21.18 47.128.51.45 47.128.126.24 47.128.117.162 47.128.41.49 47.128.123.15 47.128.47.113 47.128.53.22
47.128.117.142 47.128.41.134 47.128.99.77 47.128.54.44 47.128.127.131 47.128.48.80 47.128.54.40 47.128.44.78
47.128.56.179 47.128.54.65 47.128.56.182 47.128.51.59 47.128.35.68 47.128.38.83 47.128.
45.115 47.128.112.189 47.128.41.185 47.128.45.110
47.128.98.3 47.128.112.255

Pouvez vous me donner votre avis, si il est possible de définir une plage IP à bloquer, et, si oui, comment faire ?

Passer la tolérance de Fail2ban de 3 erreurs à 2 erreurs me semble trop radical, cela pourrait bloquer un visiteur légitime pour peu qu'il fasse 2 fois la même fausse manip qui pourrait l'envoyer vers une page 403. Il subirait
alors un ban, ce n'est pas ce que je cherche.
J'aimerais comprendre pourquoi c'est ce type d'IP 47.128.xx.xx qui ressort à chaque fois, et, si il est possible de définir une plage IP.

J'aimerais alors pouvoir interdire la consultation du serveur avec reject, et non pas drop, pour cette plage d'adresse IP.
Si je ne me trompe pas, avec drop, le serveur continue de répondre, et, redirige le visiteur interdit vers une page 403, donc, envoi d'un mail.
Avec reject le serveur ne répondra plus.

Pouvez vous me donner votre avis pour gérer ce visiteur ?

--
Pierre Malard
Responsable architectures système CDS DINAMIS/THEIA Montpellier
IRD - UMR Espace-Dev - UAR CPST - IR Data-Terra

Maison de la Télédétection
500 rue Jean-François Breton
34093 Montpellier Cx 5
France

Tél : +33 626 89 22 68

« La vérité ne triomphe jamais, mais ses ennemis finissent
   toujours par mourir... »
   Max Placnk (1858-1947)
   |\   _,,,---,,_
   /,`.-'`'   -.  ;-;;,_
  |,4-  ) )-,_. ,\ (  `'-'
'---''(_/--'  `-'\_) πr

perl -e '$_=q#: 3|\ 5_,3-3,2_: 3/,`.'"'"'`'"'"' 5-. ;-;;,_: |,A- ) )-,_. ,\ ( `'"'"'-'"'"': '"'"'-3'"'"'2(_/--'"'"' `-'"'"'\_): 24πr::#;y#:#\n#;s#(\D)(\d+)#$1x$2#ge;print'
- --> Ce message n’engage que son auteur <--

--
Sent with https://mailfence.com
Secure and private email
<div style='font-family:arial; font-size:13px;'>probleme de certificat / places chez les spam (2 messages pierre ballard)<br><br><div style="word-wrap: break-word; -webkit-nbsp-mode: space; line-break: after-white-space;" class="">Le 30 sept. 2024 à 07:
46, Pierre Malard <pierre.malard@teledetection.fr> a écrit :<blockquote type="cite" cite="<311907DA-C0AD-446C-BA10-2D6AEDFE504F@teledetection.fr>">Bonjour,<div class=""><br class=""></div><div class="">C’est une plaie récurrente mais tu peux
avoir une aide via des listes d’IP/réseaux connus comme sur :</div><div class=""><div class=""><ul class=""><li class=""><a href="https://www.openbl.org/lists/all.txt" class="">https://www.openbl.org/lists/all.txt</a></li><li class=""><a href="https://
lists.blocklist.de/lists/all.txt" class="">https://lists.blocklist.de/lists/all.txt</a></li><li class=""><a href="https://rules.emergingthreats.net/blockrules/compromised-ips.txt" class="">ht

From Michel Verdier@21:1/5 to All on Tue Oct 1 11:40:01 2024

Le 30 septembre 2024 Bernard Bass a écrit :

Comment a tu choisi cette plage d'IP, la deuxième adresse 47.128.127.131, je ne la vois pas dans ma liste. ipcalc 47.128.25.253 - 47.128.127.131

Si si j'ai fait un copier-coller, mais elle est perdue au milieu.
Si tu connais un peu python tu as une lib standard ipaddress qui permet d'aggréger et de trier des ip, si tu en as trop pour les trier.

Normalement
non, personne à Singapour, mais, les informations présentes sur mon wiki peuvent tout de même intéresser un éventuel sysop de Singapoor, si seulement
il arrive a trouver le chemin vers le site.

Il faut voir si tu es plus intéressé à fournir ton wiki à singapour, qui sont effectivement assez poor :), qu'à subir leurs intrusions. Perso je
bloque largement la chine et autres régions spammeuses.

Comment identifier la plage IP à bloquer, je dois utiliser les deux
plages CIDR proposées par le whois ?

ipcalc est ton ami :)
L'ip que tu indiquais est 147.185.133.97. Les tranches du whois sont 147.185.132.0/22 et 147.185.136.0/22.

$ ipcalc 147.185.132.0/22
Address: 147.185.132.0 10010011.10111001.100001 00.00000000
Netmask: 255.255.252.0 = 22 11111111.11111111.111111 00.00000000
Wildcard: 0.0.3.255 00000000.00000000.000000 11.11111111

Network: 147.185.132.0/22 10010011.10111001.100001 00.00000000
HostMin: 147.185.132.1 10010011.10111001.100001 00.00000001
HostMax: 147.185.135.254 10010011.10111001.100001 11.11111110
Broadcast: 147.185.135.255 10010011.10111001.100001 11.11111111
Hosts/Net: 1022 Class B

$ ipcalc 147.185.136.0/22
Address: 147.185.136.0 10010011.10111001.100010 00.00000000
Netmask: 255.255.252.0 = 22 11111111.11111111.111111 00.00000000
Wildcard: 0.0.3.255 00000000.00000000.000000 11.11111111

Network: 147.185.136.0/22 10010011.10111001.100010 00.00000000
HostMin: 147.185.136.1 10010011.10111001.100010 00.00000001
HostMax: 147.185.139.254 10010011.10111001.100010 11.11111110
Broadcast: 147.185.139.255 10010011.10111001.100010 11.11111111
Hosts/Net: 1022 Class B

On voit que ton ip est entre le HostMin et le HostMax de la première
tranche. Donc bloque la première si tu veux y aller pas à pas, ou les 2
pour être radical. Ce que je fais quand j'identifie un scanner comme ça.

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

From Jean Louis Mas@21:1/5 to All on Tue Oct 1 13:00:01 2024

This is an OpenPGP/MIME signed message (RFC 4880 and 3156) --------------DxyAHCoVIbXihfu7BcOP4tN4
Content-Type: multipart/mixed; boundary="------------HfwHI47W78yA9b1hgzLu0YNo"

--------------HfwHI47W78yA9b1hgzLu0YNo
Content-Type: text/plain; charset=UTF-8; format=flowed Content-Transfer-Encoding: base64

TGUgMzAvMDkvMjAyNCDDoCAwMDo1MSwgQmVybmFyZCBCYXNzIGEgw6ljcml0wqA6DQoNCj4g SmUgY2hlcmNoZSB1biBzeXNhZG1pbiDDoCBsJ2Fpc2UgYXZlYyBsZXMgSVAgZXQgbGVzIG1h c3F1ZXMgZGUgc291cyANCj4gcsOpc2VhdSwgdW5lIHBhcnRpZSBxdWUgamUgZGlnw6hyZSB0 csOocyBtYWwsIHBvdXIgaWRlbnRpZmllciBsYSBwbGFnZSBJUCANCj4gZGUgbW9uIHZpc2l0 ZXVyLg0KDQo+IE1vbiBzZXJ2ZXVyIHJlw6dvaXQgdW4gYm90IHRvdXRlcyBsZXMgZGV1eCBt aW51dGVzLCBxdWkgc2UgcmV0cm91dmUgc3VyIA0KPiB1bmUgcGFnZSBlcnJldXIgNDAzLg0K PiBDZWxhIGVudHJhw65uZSBkZXMgbG9ncywgbWFpcyBzdXJ0b3V0LCB1biBtYWlsIMOgIGNo YXF1ZSB2aXNpdGUgZGUgbGEgcGFnZSANCj4gNDAzIChDJ2VzdCBsZSBidXQgc291aGFpdMOp IGF2ZWMgbGEgcGFnZSBwZXJzb25uYWxpc8OpZS4pDQoNCkJvbmpvdXINCg0KUydpbCBzJ2Fn aXQgZGUgYm90cyBldCBjJ2VzdCBiaWVuIGxlIGNhcywgaWwgeSBhIHVuIGZpbHRyZSBmYWls MmJhbiANCmTDqWRpw6llIDogYXBhY2hlLWJhZGJvdHMNCg0KSWwgZmF1dCB1biBwZXUgbGUg bW9kaWZpZXIsIG1haXMgw6dhIHBlcm1ldCBkZSBjYWxtZXIgbGVzIGJvdHMsIEFtYXpvbiBl biANCnTDqnRlIHF1aSBzb250IHVsdHJhLWFncmVzc2lmcyBzdXIgbGVzIHNjYW5zLg0KDQpk J2FpbGxldXJzIHVuDQoNCndob2lzIDQ3LjEyOC4yNS4yNTMNCg0KdGUgZGlyYSBxdWUgYydl c3QgYmllbiBldXguIENlIHF1aSBuZSBtJ8OpdG9ubmUgcGFzLCBvbiBhIHBsZWluIGRlIHNj YW5zIA0KZGVzdGluw6lzIMOgIGVudHJhw65uZXIgZGUgbCdJQSBlbiBwcm92ZW5hbmNlIGRl cyBJUCBkZSBTaW5nYXBvdXIsIEFtYXpvbiANCmV0IEFsaWJhYmEgbWFqb3JpdGFpcmVtZW50 Lg0KDQpWb2ljaSBsZXMgJ2JhZGJvdHNjdXN0b20nIGxlcyBwbHVzIGFncmVzc2lmcyBxdWUg bCdvbiBhIHJlbW9udMOpIGRhbnMgbCdvcmRyZQ0KDQpjbGF1ZGVib3QNCmFtYXpvbmJvdA0K QWhyZWZzQm90DQpTZW1ydXNoQm90DQpwZXRhbGJvdA0KSW1hZ2VzaWZ0Qm90DQptajEyYm90 DQpkb3Rib3QNCmJpbmdib3QNCg0KDQpDb3JkaWFsZW1lbnQNCg0KLS0gDQpKZWFuIExvdWlz IE1hcw0K
--------------HfwHI47W78yA9b1hgzLu0YNo
Content-Type: application/pgp-keys; name="OpenPGP_0xECE0A0796958DB8E.asc" Content-Disposition: attachment; filename="OpenPGP_0xECE0A0796958DB8E.asc" Content-Description: OpenPGP public key
Content-Transfer-Encoding: quoted-printable

-----BEGIN PGP PUBLIC KEY BLOCK-----

xjMEXoSbmhYJKwYBBAHaRw8BAQdArebM8kCVgcTx2Py+0GvkO1Mt8sYzjSl+1IJJ X9c6E+LNJ01BUyBKZWFuLUxvdWlzIDxqZWFuLWxvdWlzLm1hc0BpbWFnLmZyPsKW BBMWCAA+FiEEhRoUSved3uhPL3+l7OCgeWlY244FAl6Em5oCGwMFCQlmAYAFCwkI BwIGFQoJCAsCBBYCAwECHgECF4AACgkQ7OCgeWlY247powD8Ca8Q5olrB8VLEn+D PpWjCA+h9+sxTU11wQpSexnDW8kBAN03QWV6WtDOAEGbakVQ2PkIbohVySEgrzes 6ib/Z2UMzjgEXoSbmhIKKwYBBAGXVQEFAQEHQHtAfH/54DYkBeJthuU1Ifo+C3ci 2nmAFwpD731UWu82AwEIB8J+BBgWCAAmFiEEhRoUSved3uhPL3+l7OCgeWlY244F Al6Em5oCGwwFCQlmAYAACgkQ7OCgeWlY247r7wD/R5j3QzHDGQFYPJWXWijQ9DEx nHxreJcKfG5PR5namj4BAK/TqQS7djtqwnSNQ14mAjRMKFVK68z5ifCHqfw08CYD
=GoAB
-----END PGP PUBLIC KEY BLOCK-----

--------------HfwHI47W78yA9b1hgzLu0YNo--

--------------DxyAHCoVIbXihfu7BcOP4tN4--

-----BEGIN PGP SIGNATURE-----

wnsEABYIACMWIQSFGhRK953e6E8vf6Xs4KB5aVjbjgUCZvvUnQUDAAAAAAAKCRDs4KB5aVjbjrkK AP42wR//Pu8ejujnTtTaC5bTASX3L8+fhhI9TePBbdklqQD/SNTl4zmSx1PCdRsPOepowcE9ivos WgBT2b3ra8p2BQE=
=L2rL
-----END PGP SIGNATURE-----

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

From Bernard Bass@21:1/5 to All on Tue Oct 1 15:40:01 2024

This is a multi-part message in MIME format.
J'ai oublié de partager les logs, c'est quand même un aspect important :

Depuis error.log de Apache2 :
    AH01630: client denied by server configuration: /var/www/wiki.amis-sh.fr/index.php
    AH01630: client denied by server configuration: /var/www/wiki.amis-sh.fr/images/structure

Depuis access.log :
47.128.19.30 - "GET /index.php?days=30&hideminor=1&limit=500&target=Hostname&title=Sp%C3%A9cial%3ASuivi_des_liens
HTTP/2.0" 302 579 "-" "Mozilla/5.0 (Linux; Android 5.0)
AppleWebKit/537.36 (KHTML, like Gecko) Mobile Safari/537.36
(compatible; Bytespider; spider-feedback@bytedance.com)"
47.128.19.30 - "GET /403-forbidden.php HTTP/2.0" 403 657 "-"
"Mozilla/5.0 (Linux; Android 5.0) AppleWebKit/537.36 (KHTML, like Gecko)
Mobile Safari/537.36 (compatible; Bytespider;
spider-feedback@bytedance.com)"

    J'utilise The Apache Ultimate Bot Blocker Created By: https://github.com/mitchellkrogza/ avec la règle BrowserMatchNoCase "(?:\b)Bytespider(?:\b)" bad_bot
    Cela ne bloque pas le badbot compatible; Bytespider; spider-feedback@bytedance.com

Je vais voir si il est peut-être possible de se désabonner de ce bot.

Cela n'enlève pas la problématique de savoir comment le bloquer, je
continue ma lecture réseau.

<!DOCTYPE html>
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
</head>
<body text="#000000" bgcolor="#929292">
J'ai oublié de partager les logs, c'est quand même un aspect
important :<br>
<br>
Depuis error.log de Apache2 :<br>
    AH01630: client denied by server configuration:
/var/www/wiki.amis-sh.fr/index.php<br>
    AH01630: client denied by server configuration:
/var/www/wiki.amis-sh.fr/images/structure<br>
<br>
Depuis access.log :<br>
47.128.19.30 - "GET /index.php?days=30&hideminor=1&limit=500&target=Hostname&title=Sp%C3%A9cial%3ASuivi_des_liens
HTTP/2.0" 302 579 "-" "Mozilla/5.0 (Linux; Android 5.0) <br>
AppleWebKit/537.36 (KHTML, like Gecko) Mobile Safari/537.36
(compatible; Bytespider; <a class="moz-txt-link-abbreviated" href="mailto:spider-feedback@bytedance.com">spider-feedback@bytedance.com</a>)"<br>
47.128.19.30 - "GET /403-forbidden.php HTTP/2.0" 403 657 "-"
"Mozilla/5.0 (Linux; Android 5.0) AppleWebKit/537.36 (KHTML, like
Gecko) Mobile Safari/537.36 (compatible; Bytespider;
<a class="moz-txt-link-abbreviated" href="mailto:spider-feedback@bytedance.com">spider-feedback@bytedance.com</a>)"<br>
<br>
    J'utilise The Apache Ultimate Bot Blocker Created By: <a
href="https://github.com/mitchellkrogza/"
class="moz-txt-link-freetext">https://github.com/mitchellkrogza/</a>
avec la règle BrowserMatchNoCase "(?:\b)Bytespider(?:\b)" bad_bot<br>
    Cela ne bloque pas le badbot compatible; Bytespider;
<a class="moz-txt-link-abbreviated" href="mailto:spider-feedback@bytedance.com">spider-feedback@bytedance.com</a>
<p>Je vais voir si il est peut-être possible de se désabonner de ce
bot.<br>
<br>
Cela n'enlève pas la problématique de savoir comment le bloquer,
je continue ma lecture réseau.<br>
</p>
</body>
</html>

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Sysop:	Keyop
Location:	Huddersfield, West Yorkshire, UK
Users:	546
Nodes:	16 (0 / 16)
Uptime:	156:57:51
Calls:	10,384
Calls today:	1
Files:	14,056
Messages:	6,416,474

Bloquer une plage d'adresses IP avec Fail2ban et Nftables

Who's Online

Recent Visitors

System Info