wikinotes

Outils pour utilisateurs

Outils du site

Piste : decrypter-fichiers-ms-office variable_env_docker-compose_non_creee modifier_configuration_du_container
netadmin:blocage_adresses_ip

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentesRévision précédente
Prochaine révision		Révision précédente
netadmin:blocage_adresses_ip [2021/09/02 22:04] yoannnetadmin:blocage_adresses_ip [2024/06/08 12:18] (Version actuelle) yoann
Ligne 1: Ligne 1:
 {{tag>sysadmin netadmin linux iptables netfilter ban ip todo}} {{tag>sysadmin netadmin linux iptables netfilter ban ip todo}}
  
-====== Netfilter: Bloquer des adresses IP indésirables ======+:DEPRECATED: 
 + 
 +<note> 
 +Sur les distributions récentes, **nftables** remplace **iptables**. Voir la note [[netadmin/nftables/bloquer_temporairement_ip_avec_nftables| bloquer temporairement des IP avec nftables]]. 
 +</note> 
 + 
 +====== iptables: Bloquer des adresses IP indésirables ======
  
 Il est parfois nécessaire de bloquer des adresses IP avec lesquelles le système Linux communique par défaut: on peut vouloir bannir certains hôtes ayant tenté des attaques contre le système par exemple. Il est parfois nécessaire de bloquer des adresses IP avec lesquelles le système Linux communique par défaut: on peut vouloir bannir certains hôtes ayant tenté des attaques contre le système par exemple.
Ligne 26: Ligne 32:
 sudo apt-get install ipset sudo apt-get install ipset
 </code> </code>
 +
 +===== Créer l'ensemble =====
  
 On commence par créer un nouvel ensemble, ici on le nomme "set_banished_net": On commence par créer un nouvel ensemble, ici on le nomme "set_banished_net":
Ligne 49: Ligne 57:
 </code> </code>
  
-Pour ajouter des IP éléments dans les ensembles:+Pour ajouter un élément dans un ensemble:
  
 <code bash> <code bash>
Ligne 58: Ligne 66:
 </code> </code>
  
-Maintenant que l'ensemble est définit, on peut créer la règle de filtrage via iptables qui bloque les IP appartenant à cet ensemble:+Pour supprimer un élément de l'ensemble: 
 +<code bash> 
 +sudo ipset del set_banished_ip 93.186.198.153 
 +</code> 
 + 
 +===== Créer le filtre netfilter ===== 
 + 
 +Maintenant que l'ensemble est définit, on peut créer la règle de filtrage via iptables qui bloque les IP appartenant à cet ensemble, pour cela il faut utiliser les arguments **%% -m set --match-set <set_name> %%**:
  
 <code bash> <code bash>
 sudo iptables -I INPUT -m set --match-set set_banished_ip src -p tcp -j LOG --log-level info --log-prefix="ACTION=BANISHED " sudo iptables -I INPUT -m set --match-set set_banished_ip src -p tcp -j LOG --log-level info --log-prefix="ACTION=BANISHED "
 sudo iptables -I INPUT 2 -m set --match-set set_banished_ip src -p tcp -j DROP sudo iptables -I INPUT 2 -m set --match-set set_banished_ip src -p tcp -j DROP
 +</code>
 +
 +==== Filtres avec Docker ====
 +
 +Si le serveur s'appuie sur Docker pour fournir certains services, il faut aussi ajouter les filtres dans la chaîne **DOCKER-USER**:
 +
 +<code bash>
 +sudo iptables -I DOCKER-USER -m set --match-set set_banished_ip src -p tcp -j LOG --log-level info --log-prefix="ACTION=BANISHED "
 +sudo iptables -I DOCKER-USER 2 -m set --match-set set_banished_ip src -p tcp -j DROP
 </code> </code>
  
 ===== Sauvegarde et restauration d'un ensemble ===== ===== Sauvegarde et restauration d'un ensemble =====
  
 +Il est possible d'exporter/sauvegarder un ensemble dans un fichier texte:
 +
 +<code bash>
 +sudo ipset save set_banished_ip -f banished_ip.txt
 +</code>
 +
 +
 +Pour supprimer un set existant:
 +<code bash>
 +sudo ipset destroy set_banished_ip
 +</code>
 +
 +<note>
 +Un ensemble ne pourra pas être supprimé s'il est en cours d'utilisation par une règle de filtrage.
 +</note>
 +
 +Pour recréer un ensemble via le fichier d'export:
 +<code bash>
 +sudo ipset restore -f banished_ip.txt
 +</code>
  
 ===== Automatiser le bannissement ===== ===== Automatiser le bannissement =====
netadmin/blocage_adresses_ip.1630620269.txt.gz · Dernière modification : 2021/09/02 22:04 de yoann

Outils de la page

Sauf mention contraire, le contenu de ce wiki est placé sous les termes de la licence suivante : GNU Free Documentation License 1.3
GNU Free Documentation License 1.3 Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki