> On 26 Apr 2021, at 09:45, David Ponzone <david.ponz...@gmail.com> wrote: > > Méthode plus propre de faire du fail2ban mais peut-être moins universelle.
J’espère que ce démon sera rapidement porté sur les autres OS. > Le problème qui se pose va être au niveau du firewall non ? Au bout de > combien de /32 ou surtout /128 va-t-il commencer à souffrir ? > Ca a déjà été benchmarké ça, aussi bien sur BSD que Linux ? PF fonctionne très bien, avec un minimum d’overhead. Les tables de blocage sont stockées sous forme d’arbres, et quatre niveaux de recherche sont suffisants pour une IPv4. Après, bien sûr, tu peux trafiquer tes règles pour augmenter l’efficacité. Par exemple, placer l’ancre blacklistd au tout début avec une clause quick, ce qui provoque le rejet immédiat du paquet sans avoir à évaluer les règles suivantes. Personnellement, je ne suis pas sous le feu des pirates en permanence, j’ai donc privilégié la lisibilité de mes règles à l’efficacité, mais ymmv, comme disent les anglo-saxons. PF existe depuis des lustres sous OpenBSD en single-thread, mais la version FreeBSD est multithread, ce qui augmente d’autant les performances. V. --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
