Bonjour Michel,
Merci pour ta réponse très intéressante, je comprend en lecture
diagonale mais je reste perdu dans la façon d'aborder la chose.
Comment a tu choisi cette plage d'IP, la deuxième adresse
47.128.127.131, je ne la vois pas dans ma liste. ipcalc 47.128.25.253 -
47.128.127.131
Premier bon réflexe, j'aurais du penser a faire le whois par moi même,
mauvais réflexe, j'ai demandé à Google qui ne m'a pas permis de trouver
l'origine de l'émetteur.
whois 47.128.126.24 Donc si tu n'as personne à Singapour tu peux
blacklister complètement les tranches que tu veux ou même tout
47.128.0.0/14 Normalement non, personne à Singapour, mais, les
informations présentes sur mon wiki peuvent tout de même intéresser un
éventuel sysop de Singapoor, si seulement il arrive a trouver le chemin
vers le site.
Palo Alto fait partie des scanners soit-disant pour la sécurité, ils se
proclament même "leader mondial de la cybersécurité". Tu peux
blacklister aussi. Comment identifier la plage IP à bloquer, je dois
utiliser les deux plages CIDR proposées par le whois ?
whois 147.185.133.97
[...]
NetRange: 147.185.132.0 - 147.185.139.255
CIDR: 147.185.136.0/22, 147.185.132.0/22
Cordialement,
Le 30/09/2024 à 11:01, Michel Verdier a écrit :
Le 30 septembre 2024 Bernard Bass a écrit :
147.185.133.97 47.128.25.253 47.128.112.206 47.128.21.18 47.128.51.45
47.128.126.24
47.128.117.162 47.128.41.49 47.128.123.15 47.128.47.113 47.128.53.22
47.128.117.142
*J'aimerais comprendre pourquoi c'est ce type d'IP 47.128.xx.xx qui ressort à
chaque fois, et, si il est possible de définir une plage IP.*
Tu peux utiliser whois et ipcalc (paquets du même nom) si tu veux
facilement trouver des plages. Par exemple :
$ ipcalc 47.128.25.253 - 47.128.127.131
deaggregate 47.128.25.253 - 47.128.127.131
47.128.25.253/32
47.128.25.254/31
47.128.26.0/23
47.128.28.0/22
47.128.32.0/19
47.128.64.0/19
47.128.96.0/20
47.128.112.0/21
47.128.120.0/22
47.128.124.0/23
47.128.126.0/24
47.128.127.0/25
47.128.127.128/30
Pour cette tranche :
$ whois 47.128.126.24
[...]
NetRange: 47.128.0.0 - 47.131.255.255
CIDR: 47.128.0.0/14
NetName: AMAZON-SIN
NetHandle: NET-47-128-0-0-2
Parent: AT-88-Z (NET-47-128-0-0-1)
NetType: Reallocated
OriginAS:
Organization: Amazon Data Services Singapore (ADSS-3)
Donc si tu n'as personne à Singapour tu peux blacklister complètement
les tranches que tu veux ou même tout 47.128.0.0/14
$ whois 147.185.133.97
[...]
NetRange: 147.185.132.0 - 147.185.139.255
CIDR: 147.185.136.0/22, 147.185.132.0/22
NetName: PAN-22
NetHandle: NET-147-185-132-0-1
Parent: NET147 (NET-147-0-0-0-0)
NetType: Direct Allocation
OriginAS:
Organization: Palo Alto Networks, Inc (PAN-22)
Palo Alto fait partie des scanners soit-disant pour la sécurité, ils se
proclament même "leader mondial de la cybersécurité". Tu peux blacklister
aussi.
J'aimerais alors pouvoir interdire la consultation du serveur avec reject, et
non pas drop, pour cette plage d'adresse IP.
Si je ne me trompe pas, avec drop, le serveur continue de répondre, et,
redirige le visiteur interdit vers une page 403, donc, envoi d'un mail.
Avec reject le serveur ne répondra plus.
Avec reject il est averti que ça bloque et change d'IP. Ca ne fait que
déplacer le problème. Perso je fais des drop, mais en entrée du réseau,
en ingress ou prerouting, donc ça n'arrive jamais aux applis. Mais je ne
sais pas si on peut faire ça avec fail2ban.
