Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Banir des ip public

    Scheduled Pinned Locked Moved Français
    8 Posts 4 Posters 1.4k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • O
      olivedu56
      last edited by

      bonjour,

      je cherche comment bannir des ip qui tente de rentre sur mon reseau en testant les port .

      dans les log du firewall j ai les ip et peux faire add to block list.

      mais j aimerai automatiser comme avec fail2ban.

      je pense que l option doit exister dans pfsense.

      merci pour votre aide

      1 Reply Last reply Reply Quote 0
      • C
        ccnet
        last edited by

        @olivedu56:

        je pense que l option doit exister dans pfsense.

        Non elle n'existe pas dans Pfsense. Ce type de détection peut être réalisée au moyen d'un IDS/IPS. L'archétype étant un produit comme Snort. Toutefois il faudra écrire la ou les règles et les actions qui vont avec. Il existe bien un package Snort pour pfsense. Je déconseille son installation sur le firewall lui même. Notamment parce que les ressources nécessaires à un fonctionnement efficace de Snort peuvent peser lourdement sur le firewall. Par ailleurs Snort, comme tout logiciel, comporte son lot de failles et bug en tout genre. Ce ne sont pas, loin de là, les seules raisons, mais je n'ai pas le temps de détailler tout cela. Nous sortirions du cadre de ce forum.

        1 Reply Last reply Reply Quote 0
        • J
          jdh
          last edited by

          Ce qui est pratique avec des systèmes automatique de banissement d'ip, c'est qu'on peut … se banir soi-même ! (que celui à qui ce n'est jamais arrivé me jette la première pierre ...)
          En mettant un tel système en place, et en mettant des règles particulières en pensant à cette situation non souhaitée, il arrive toujours qu'on a oublié un cas, et bim !

          Il vaut mieux un système d'alerte : on traite ou pas.

          Sinon, pas mieux que ccnet :

          • évitez de mettre en place un IDS sur un firewall à cause des ressources (mém, cpu) nécessaires et de la fragilité induite à ajouter un addons
          • bien pesez la complexité de compréhension et de réglage d'un tel système (surtout versus fail2ban, qui est très simple)
          • le positionnement d'un IDS côté WAN est particulièrement complexe ... (switch avec recopie de trafic, cfg en accord avec celle du firewall ...)
          • enfin un IDS fait beaucoup beaucoup d'autres choses que la détection de scan : avalanche d'alertes à prévoir ...

          Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)

          1 Reply Last reply Reply Quote 0
          • C
            chris4916
            last edited by

            Sans répondre exactement au besoin tel que tu l'exprimes, pfBlockerNG peut être une solution qui peut t'intéresser

            Jah Olela Wembo: Les mots se muent en maux quand ils indisposent, agressent ou blessent.

            1 Reply Last reply Reply Quote 0
            • C
              chris4916
              last edited by

              Je rajouterai, suis à ma brève réponse précédente, qu'il m'est arrivé de me poser la même question que toi et que j'ai finalement opté pour une approche différente.

              • les seuls ports vraiment ouverts coté WAN (pour accéder à la machine pfSense) sont ceux du VPN pour lesquels il convient bien sûr d'avoir des mécanismes d’authentification correctement configurés.
              • les autres ports sont des redirections vers des services qui tournent sur la DMZ: serveur de mail principalement, HTTPS, etc…

              Il est plus simple, à mon avis, de configurer fail2ban au niveau de ces serveurs, pour les services exposés par chacun des serveurs, plutôt que vouloir traiter le problème au niveau du firewall.

              La mise en œuvre d'IDS (et surtout d'IPS) demande beaucoup de travail et de suivi, avec, je suis bien d'accord, un risque significatif de se fermer la porte ou de rendre le service inaccessible aux utilisateurs légitimes.

              Jah Olela Wembo: Les mots se muent en maux quand ils indisposent, agressent ou blessent.

              1 Reply Last reply Reply Quote 0
              • O
                olivedu56
                last edited by

                bonjour,

                merci pour vos réponses éclairés .
                oui effectivement traite l information a partir d serveur (web,rdp,etc..) est une bonne solution.

                le brute force sur le rdp est courant et chi…t, j ai ce qu il faut pour y remédier.

                merci et bon wkend

                1 Reply Last reply Reply Quote 0
                • C
                  ccnet
                  last edited by

                  Un service comme RDP ne devrait jamais être exposé directement sut internet mais exclusivement au travers d'une connexion vpn.
                  RDP est très souvent mal configuré par ailleurs.

                  1 Reply Last reply Reply Quote 0
                  • O
                    olivedu56
                    last edited by

                    re,

                    c 'est pas faux
                    :)

                    1 Reply Last reply Reply Quote 0
                    • First post
                      Last post
                    Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.