Mon expérience sur les listes de ce type, qui sont assez massivement basées sur GeoIP : - les pays sont plutôt bon pour les FAI grand public (adsl, cable etc...), avec même une précision sur les villes, et quelques erreurs assez sporadiques - tout est relativement faux pour les plages d'IP d'hébergeurs, entreprises, et le reste, ils mettent souvent le lieu du siège social (objet organisation) et ne suivent pas toujours les bases des RIR, ni le nouveau champ geoloc de la base du RIPE.
Donc si le but est d'utiliser ce genre de liste pour blacklister des accès internet de pays à problème, c'est plutôt efficace. Si c'est pour l'utiliser en whitelist de avec un deny général, c'est du suicide, trop d'erreurs, ou alors il faudra gérer massivement à la main des faux positifs. Cédric Le 28 mars 2013 21:55, Tony Chambon <tony.cham...@univ-paris8.fr> a écrit : > Bonsoir, > > j'espère écrire sur la bonne liste. > je cherche a savoir s'il y a d'autres sites qui maintienne des listes de > plages d'adresse IP > il y a des sites que vous conseiller pour avoir ce genre de résultats. > > https://www.countryipblocks.net/country_selection.php > > j'avais pour habitude de faire un drop de tout sauf la france. > je me vois mal demander aux utilisateurs leur adresse IP sans arrêt j'ai du > ouvrir pour l'allemagne et facebook. > > je me suis retrouvé avec un utilisateur en contact sur facebook mais le site > répondait pas a cause du chemin. > /var/log/apache2/access.log:69.171.224.113 - - [26/Mar/2013:22:06:07 +0100] > "GET /oc5/ HTTP/1.1" 206 1494 "-" "facebookexternalhit/1.1 > (+http://www.facebook.com/externalhit_uatext.php)" > /var/log/apache2/access.log:69.171.224.112 - - [26/Mar/2013:22:06:09 +0100] > "GET /oc5/core/img/logo.png HTTP/1.1" 206 6202 "-" "facebookexternalhit/1.1 > (+http://www.facebook.com/externalhit_uatext.php)" > /var/log/apache2/access.log:69.171.224.117 - - [26/Mar/2013:22:06:10 +0100] > "GET /oc5/core/img/logo.png HTTP/1.1" 206 6202 "-" "facebookexternalhit/1.1 > (+http://www.facebook.com/externalhit_uatext.php)" > > donc, j'ai ouvert le 80 sur le web, et bingo en moins de 24h. > 1 tentative d'accès non autoriser depuis Taîwan. > j'ai un fail2ban qui fait bien sont boulot mais j'aime pas trop ça que l'on > fouille comme ça. > > je peux aussi faire des liste pour des drop. > /usr/sbin/ipset -N taiwan nethash > sh /home/celres/iptables/taiwan.sh > /sbin/iptables -A INPUT -m set --match-set taiwan src -j DROP > > contenu de taiwan.sh > #!/bin/bash > ipset --add taiwan 1.34.0.0/15 > ipset --add taiwan 1.160.0.0/12 > ipset --add taiwan 1.200.0.0/16 > ipset --add taiwan 27.51.0.0/16 > .... (3573 lignes) > > ma question est simple peut on faire confiance aux listes CIDR ? > http://pastebin.com/bN3yKJse > du coup j'ai interdit taiwan et la chine. > > je n'ai pas accès aux différents switch sur le réseau. > l'adresse IP est directement visible du net (NAT, PAT, autre acronyme je > sais pas) > ça me dérange pas du tout mais faut un iptables dérrière obligé au risque de > ce faire attaquer a gogo en ssh. > si vous avez un retour d'expérience et/ou autres solutions. > --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
