En observant les logs d'un service exposé sur Internet on se rends parfois compte que des requêtes "pourries" arrivent régulièrement d'adresses IP très ressemblantes.
Après un petit whois très intructif on peut obtenir la plage d'IP correspondante et ainsi la bloquer en amont du service, évitant de polluer les fichiers de logs et de faire travailler le serveur pour rien.
Le blocage d'une plage d'adresse IP se fait très facilement en utilisant iptables et le module iprange.
Par exemple, pour bloquer en entrée une plage d'adresse IP bien connue des serveurs smtp :
$ iptables -A INPUT -p tcp --dport 25 -m iprange --src-range 118.166.0.0-118.166.255.255 -j DROP
Options utilisées :
- -A : pour ajouter une règle dans la châine (ici, pour les paquets en entrée donc INPUT)
- -p : protocole
- --dport : port de destination du paquet
- -m : utilisation d'un module (ici, on utilise le module iprange)
- --src-range : plage d'adresse IP source
- -j : action à effectuer pour le paquet (ici, on ne le prends pas en compte)
Leave a Reply