On Wed, Oct 5, 2016, at 11:36, jehan procaccia INT wrote: > je ne sais pas si le projet est réalisable, mais serait-il possible de > constituer une liste (peut-être pas exhaustive ...) > des subnets IP de ISP français a des fins de contrôle d’accès firewall > (ACL autorisant seulement les internautes FR) ?
Complique si tu veux avoir des donnees fiables. Si se debarasser d'environ 10% (???) d'internautes ne pose pas de problemes, ca devra etre possible. Pour commencer, si tu n'est pas pret a mettre a jour les listes regulierement (une fois par semaine, strict maximum une fois par mois) et de facon *automatique*, abandonne de suite (dis que ce n'est pas possible). Apres, surtout en mode "entreprise", il peut y avoir des numeros d'AS etrangeres (societe mere gerant l'AS ayant le siege a l'entranger) mais qui fournissent du service en France. Pareil pour les *allocations* chez RIPE NCC (qui publie dans un format facilement lisible les *allocations*), il peut y avoir une allocation faite pour une societe dans un pays etranger, dont une partie est *assigne* a des utilisateurs en France. Il y a aussi le fait que certains peuvent ne pas mettre a jour les bases RIPE. Il y a aussi des utilisaturs Francais qui peuvent arriver sur Internet depuis un IP etranger en raison des politiques internes de leur societe. Apres, il ya de plus en plus les transferts, puisque les blocs d'IPv4 sont actuellement distribues miette par miette. Tu peux te retrouver avec un FAI francais qui achete un bloc d'adresses depuis la Pologne, Danmark ou Bulgarie et qui commence a l'utiliser tres rapidement. D'ou mon commentaire initial avec les mises a jour. Ca donne a peu pres les memes resultats avec les nouveaux blocs, si un FAI veut faire l'effort de ramasser des miettes. De ce point de vue, la situation va juste empirer avec le temps. Pour la source des donnees, il y a soit RIPE NCC (qui distribue ou au minima enregistre les transferts) soit des bases externes type Maxmind, qui enrichit les donnees RIPE avec ses propres donnees obtenues d'autres facons. Tres utile pour la prevention de la fraude aussi. Pour Maxmind, pareil ca doit etre mis a jour regulierement. Pour le fait de generer des ACL, il faut etre pret a avoir des ACL qui peuvent ateindre des centaines (moire meme des milliers) de lignes. Personellement, je considere mettre des ACL une grosse connerie. S'il faut restreindre l'acces, il faut le faire au niveau applicatif (les bases Maxmind sont tres utilises comme ca), non pas reseau. --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
