Une blacklist pour être dans l'air du temps



  • Je souhaite gérer une black liste dans mon PFSENSE.
    Il semble que c'est packet filter qui gére le FIREWALL.
    Ca tombe bien, je connais un peu.
    PF a normalement un pf.conf ; il suffit d'y insérer ces directives pour gérer des tables.

    table <whitelist>persist file "/var/db/whitelist_pf.data"
    table <greylist>persist file "/var/db/greylist_pf.data"
    table <blacklist>persist file "/var/db/blacklist_pf.data"

    EX: le fichier /var/db/blacklist_pf.data contient toutes les IP a blacklister.
    Ensuite il suffit d'y placer les commandes suivantes pour gérer la blacklist au sein du boucle dans un shell:

    Extrait…

    BLACKLIST=/var/db/blacklist_pf.data
    while read LINES
    do
    IP_TO_BLOCK=$LINES
    /sbin/pfctl -t $BLACKLIST -T add $IP_TO_BLOCK 1>/dev/null 2>/var/log/pfctl_error.log
    /sbin/pfctl -t $BLACKLIST -T load
    done < $BLACKLIST
    ...

    Mais je ne trouve pas pf.conf ; y a-t-il une subtilité ?
    Est-ce que mon truc peut marcher en parallèle de PFSENSE sans le gêner ?

    Merci.</blacklist></greylist></whitelist>



  • Cela va etre compliquer, vous aller devoir modifier le code source de pfsense pour insérer ces modifications à la génération du pf.conf qui justement ne s'appel par pf.conf. allez faire un tour dans /tmp/rules.debug pour voir le contenu du fichier de règles chargées par pfctl.



  • Est-ce que squid et squidguard suffient pas pour vous? Il serait beaucoup plus simple de bloquer quelques sites avec ces deux programmes que de bloquer sur pf directement.



  • Bonsoir,

    Cela va etre compliquer, vous aller devoir modifier le code source de pfsense

    Ah ! Mais ce n'est pas le but ! Je préfère rester "standard" !!!

    En fait mon serveur web génére lui-même un fichier plat avec les IP en liste, du genre:
    238.40.x.x
    176.67.x.x

    et l'envoi sur mon FW...

    Est-ce que squid et squidguard suffient pas pour vous?

    Pourquoi pas ! Mais comment ! y a -t-il un fichier que je peux enrichir simplement ?

    Merci.



  • Vous voulez en fait reproduire le fonctionnement du mod_evasive d'apache avec pfsense ?



  • Hello,

    mod_evasive d'apache avec pfsense

    Je ne connais pas… Vous pouvez développer !

    En fait, je cherche à BLOCKER les zozos qui essaient de rentrer via FTP, SSH, ..
    Comme je le signalais ci-avant, je récupère les IP et souhaite insérer celles-ci dans PF...
    Mais si il y a une autre solution... je suis preneur.

    Merci.



  • En fait je pensais que vous utilisiez déjà le couple mod_evasive+apache, oubliez donc mes propos.

    Je vois très bien ce que vous voulez faire, dès que j'ai 5 min je me penche sur la faisabilité.



  • Bonsoir,

    Avez-vous eu le temps de regarder mon problème ?  ;)
    MERCI…



  • honnetement, non. Pas encore eut le temps de me pencher sur votre question.

    Sachez tout de même que d'un point de vue technique j'envisage la chose comme ceci:

    • un script qui appel par wget/fetch le code d'ajout d'IP à un alias puis de revalidation des rules (simple a mettre en oeuvre).
    • le script détecte lorsqu'on arrive au maximum d'IP par alias et cré une alias et une règle supplémentaire.

    Voila, si vous pouvez deja avancer de votre côté.

    ;)



  • Hello,

    Ah oui !
    L'idée est très intéressante !
    Je vais chercher de mon côté…

    MERCI


Locked