[gull] proxy Squid explicite sur ubuntu

Marc SCHAEFER schaefer at alphanet.ch
Thu Oct 29 13:34:08 CET 2020


On Thu, Oct 29, 2020 at 10:11:05AM +0100, Frederic Dumas wrote:
> Intéressante statistique. Un millier d'adresses seulement? Ça fait
> finalement très peu de ranges IP concernés.

C'est pour cela que j'ai un deuxième ban qui s'active en cas de
récidive, même après des mois (c'est en standard dans fail2ban même s'il
faut activer le jail recidive et le paramétrer).  Et à l'époque, je
signalais aux propriétaires des ranges les récividistes une fois par
mois en groupant par e-mail destinataire.  Même si c'était partiellement
automatisé (cf https://attacks.alphanet.ch/), c'était beaucoup de
travail manuel ensuite pour tomber sur les bonnes personnes, en
particulier dans les pays en voie de développement où les WHOIS ne sont
pas toujours aussi bien tenus et validés que ceux du RIPE.

En Chine, c'était tout bonnement impossible, même APNIC semble avoir
renoncé de valider les adresses de contact. Mais globalement ce n'était
pas la majorité des attaques chez moi.

Mais je me suis rendu compte que mes mails de signalisation activaient
alors des protections anti-spam automatisées (peut-être certaines
adresses des WHOIS sont des spam-tram). Donc j'ai laissé tomber.

Par contre j'utilise abuseipdb.com maintenant.  Aussi d'ailleurs pour
protéger certains services: un accès web sur un service protégé
demandait à abuseipdb.com si l'adresse était listée, si récent et
suffisamment de hits, alors le firewall la bloquait. Mais j'ai aussi
arrêté pour le moment.

> Je ne sais pas où fail2ban l'enregistre, mais sur cette 18.04, les adresses
> blacklistées sont bien déchargées et rechargées dans netfilter à chaque
> arrêt/démarrage de fail2ban. Une quarantaine définitive survivra donc au
> redémarrage du serveur.

Ne reparse-t-il pas les logs, simplement ?

> Merci pour ce tuto, il est particulièrement clair. Mais donne-t-il à
> configurer Squid pour forwarder le https aussi ? De nos jours, c'est ce
> trafic là qui nous intéresse avant tout.

Oui, mais c'est fait sous forme de CONNECT, aka Squid transfère tes
octets sans les toucher.  J'aurais l'impression que sans mettre en place
du MitM il n'y a aucun moyen pour Squid de modifier quoi que ce soit.


More information about the gull mailing list