Virer les intrus [Diablotins]

Cette page est en lecture seule. Vous pouvez afficher le texte source, mais ne pourrez pas le modifier. Contactez votre administrateur si vous pensez qu'il s'agit d'une erreur.
<jumbotron>
====== Virer les intrus ======


blacklistd(8) est un outil venu de [[https://www.netbsd.org/|netbsd]] qui, à la manière de [[https://www.fail2ban.org/wiki/index.php/Main_Page|fail2ban]], va mettre sur les listes noires les adresses IP qui tentent de pénétrer vos systèmes.
</jumbotron>
Les services réseau vont contacter le [[https://www.freebsd.org/doc/handbook/configtuning-rcd.html|démon]] ''blacklistd'' pour lui communiquer les coordonnées d'un pénible.


===== Service =====

Activez le service dans votre [[https://www.freebsd.org/cgi/man.cgi?query=rc.conf&sektion=5|configuration]]:

<file bash rc.conf.d/blacklistd>
blacklistd_enable="YES"
blacklistd_flags="-r"
</file>


Connectez SSH à blacklisd:

<file bash rc.conf>
sshd_flags="-o UseBlacklist=yes"
</file>

Consultez la liste avec blacklistctl(8):

<code bash>
$ blacklistctl dump
        address/ma:port	id	nfail	last access
  118.175.7.132/32:22		1/3	2019/05/07 14:10:54
   106.13.74.47/32:22		1/3	2019/05/08 03:03:10
190.144.232.122/32:22		1/3	2019/05/08 04:29:35
157.230.103.135/32:22		1/3	2019/05/07 17:41:41
 155.94.146.167/32:22		1/3	2019/05/07 13:07:03
 59.150.236.245/32:22		1/3	2019/05/08 06:26:35
   41.65.67.165/32:22		1/3	2019/05/08 07:26:37
  206.189.86.17/32:22		1/3	2019/05/08 10:56:26
</code>

Vous trouverez les traces de l'activité de //blacklistd// dans ''/var/log/daemon.log''.
===== Parefeu =====

Blacklistd va enrichir une liste noire gérée par vos pare-feux.


==== packet filter ====

Ajoutez une table destinée à recevoir les IP de ''blacklistd''.

<file bash pf.conf>
anchor "blacklistd/*" in on $ext_if
</file>

Consultez la liste des indésirables avec pfctl(8):

<code bash >
$ pfctl -a blacklistd/22 -t port22 -T show
  112.151.228.30
  113.228.20.96
  120.31.136.32
  211.109.96.118
  217.77.221.85
</code>

==== ipfw ====

<file bash /etc/ipfw-blacklist.rc>
ipfw_offset=4000
</file>

Consultez le contenu de la table:

<code bash >
$ ipfw table port22 list
123.206.111.227/32 0
</code>



===== En savoir plus =====

<alert type="info">
  * blacklistd(8)
  * [[ https://www.freebsd.org/doc/handbook/firewalls-blacklistd.html | le manuel ]]
</alert>