Biensur,
J’ai simplement ajouté les adresses suivantes au fichier cron
wget https://mailfud.org/geoip-legacy/GeoIPASNum.dat.gz
gunzip -f GeoIPASNum.dat.gz
wget https://mailfud.org/geoip-legacy/GeoIPASNumv6.dat.gz
gunzip -f GeoIPASNumv6.dat.gz
wget https://mailfud.org/geoip-legacy/GeoIPISP.dat.gz
gunzip -f GeoIPISP.dat.gz
wget https://mailfud.org/geoip-legacy/GeoIPOrg.dat.gz
gunzip -f GeoIPOrg.dat.gz
Bonjour à tous.
Sujet intéressant …
A la lecture du topic, je me suis demandé comment étai reparti (par pays) les tentatives de connexion sur ma machine, donc :
# Liste des IPs avec leurs pays
for i in `grep "Connection from" /var/log/auth.log |cut -d' ' -f 8 |sort -u` ; do
echo "$i" $(whois $i |grep -i -m1 country) >> ip.lst
done
# Organisation par pays
for i in `awk '{print $3}' ip.lst |sort -u` ; do
echo $i
grep $i ip.lst |awk '{print " "$1}' |sort -u
done
AR
181.117.245.58
181.13.51.177
190.12.120.29
201.252.248.122
AU
129.226.146.233
129.226.166.113
139.198.118.90
139.255.87.213
139.59.103.136
139.59.26.97
139.59.3.114
139.59.39.39
139.59.7.138
139.59.90.147
139.59.90.37
140.207.100.82
140.246.118.203
143.92.58.78
148.70.195.242
165.154.75.69
170.106.167.247
192.144.216.91
54.223.170.179
BO
181.114.109.54
BR
177.102.140.51
177.91.80.178
179.108.181.161
179.99.213.102
186.236.170.23
187.32.84.234
189.7.25.246
190.115.208.250
191.242.188.103
201.32.178.190
45.232.75.253
CA
142.113.99.142
144.217.4.123
149.56.102.60
66.98.127.52
CH
46.19.139.42
CL
186.10.245.152
CN
101.43.89.185
103.219.32.171
106.12.144.171
106.12.219.17
106.13.120.250
106.13.184.52
106.13.41.71
106.13.50.219
106.13.74.61
106.13.82.231
106.75.27.111
111.12.63.34
111.132.7.174
111.193.230.136
111.206.120.172
111.74.11.83
112.28.209.251
112.64.33.38
113.235.125.169
114.67.100.224
114.67.114.107
114.67.126.242
114.67.250.30
114.67.89.192
114.67.96.200
114.92.197.104
116.196.82.107
117.122.211.181
117.139.234.87
117.161.75.116
117.50.173.225
117.50.176.127
120.48.17.128
120.48.25.141
120.48.2.70
120.48.8.133
121.4.118.208
121.46.24.73
121.4.83.113
121.69.135.162
123.59.120.107
124.152.76.180
125.65.82.7
125.77.20.60
14.29.241.146
150.158.15.215
180.76.121.37
180.76.149.205
180.76.149.99
180.76.151.130
180.76.172.84
180.76.235.165
182.132.24.241
182.254.140.176
182.42.126.36
202.101.186.218
221.213.129.46
222.85.136.45
223.247.180.78
27.128.233.119
27.128.236.142
27.204.6.252
36.110.228.254
36.111.187.212
36.153.118.90
36.99.45.227
39.129.9.180
42.193.162.112
42.84.34.155
58.49.127.150
58.56.183.82
61.177.172.160
61.177.172.174
61.177.172.59
61.177.172.60
61.177.172.61
61.177.172.76
61.177.172.87
61.177.172.91
61.177.173.40
61.177.173.41
61.177.173.42
61.177.173.43
61.177.173.44
61.177.173.54
61.177.173.55
61.177.173.56
61.177.173.61
61.177.173.62
61.189.43.58
CO
181.63.248.149
186.113.41.184
186.98.40.125
190.128.118.185
190.70.164.16
200.29.116.194
DE
185.215.164.206
193.17.30.211
46.101.104.175
46.101.225.227
62.171.152.216
88.218.227.225
91.20.149.179
91.230.111.82
DO
200.125.169.254
EG
45.240.88.36
EU
194.204.194.11
51.79.255.41
81.68.123.185
fr
2001:910:1410::1
FR
176.140.131.46
5.196.74.238
80.14.12.161
80.67.172.144
82.65.239.16
92.152.33.20
GB
178.62.119.91
46.101.3.234
GH
102.223.173.17
41.242.112.44
GR
212.205.99.56
HK
101.32.177.59
101.32.208.237
103.150.55.85
113.28.243.105
42.200.11.54
42.200.197.148
45.125.65.126
ID
116.197.135.187
123.231.217.92
180.250.124.227
203.130.255.2
36.80.48.9
IE
79.97.146.19
IN
101.33.62.73
103.155.204.6
103.246.240.30
114.143.205.146
114.69.249.194
115.112.71.254
121.200.55.93
122.166.2.181
220.225.126.55
IR
185.186.243.130
5.200.70.148
IT
93.148.246.51
JP
126.77.170.137
KR
106.240.49.115
114.108.150.156
115.88.38.58
116.39.207.4
123.212.190.82
124.137.205.59
202.79.175.54
LA
202.137.130.75
LT
141.98.10.157
141.98.10.174
141.98.10.175
141.98.10.42
141.98.11.20
141.98.11.29
77.241.194.100
MA
105.73.80.25
MT
195.158.82.141
MU
164.88.199.243
196.216.73.90
197.227.8.186
MX
189.180.65.123
200.52.221.17
MY
103.215.139.109
NL
109.107.173.77
128.199.103.239
128.199.1.140
128.199.150.10
134.17.16.196
134.17.94.149
185.28.39.119
188.166.70.184
37.139.15.214
51.158.152.67
65.21.59.90
75.119.133.162
NZ
222.154.150.160
PA
179.43.142.180
179.43.142.48
179.43.142.49
179.43.142.83
179.43.167.74
179.43.168.126
179.43.175.103
179.43.183.34
PE
181.65.45.167
PK
119.159.234.131
PS
213.6.130.133
PT
188.250.58.172
93.108.242.140
PY
190.128.230.98
RU
176.113.115.82
178.35.169.154
185.143.173.170
185.199.8.46
193.228.108.122
195.239.243.84
212.33.250.241
45.135.232.155
45.67.34.253
5.3.87.134
81.200.212.13
83.229.149.191
92.255.195.59
92.255.85.135
92.255.85.190
95.66.135.129
SG
178.128.25.31
178.128.31.9
188.166.180.17
188.166.188.120
45.13.132.157
TH
101.51.225.88
122.155.169.49
TN
196.203.207.165
TR
213.155.103.147
89.252.140.21
TW
220.135.7.122
UA
80.91.167.71
US
104.131.102.169
104.131.180.54
104.152.52.112
104.236.52.94
104.248.117.154
104.248.119.94
104.248.168.145
13.125.136.111
13.229.224.184
134.122.126.197
134.209.102.116
134.209.147.174
134.209.179.100
134.209.228.253
134.209.84.124
134.209.91.138
137.184.184.156
137.184.225.58
138.197.184.178
138.68.10.182
138.68.21.125
138.68.58.138
13.90.36.195
140.238.94.160
142.93.178.95
142.93.203.254
142.93.65.9
142.93.79.192
143.110.241.136
143.198.133.234
143.198.135.140
143.198.157.77
143.198.49.250
143.198.66.0
143.244.128.72
143.244.158.201
143.244.175.225
144.126.217.16
147.182.235.17
15.165.236.44
157.230.233.185
157.230.26.137
157.230.35.9
157.245.157.93
159.203.179.230
159.203.97.7
159.223.55.246
159.223.65.152
159.65.150.151
159.65.205.178
161.35.26.171
162.142.125.222
162.244.77.140
164.90.210.8
164.92.240.227
165.227.142.62
165.227.228.72
165.227.239.76
165.22.99.216
165.232.131.8
167.248.133.45
167.71.207.160
167.71.210.244
167.71.224.92
167.94.145.60
167.94.146.58
167.99.61.176
167.99.82.172
172.104.175.18
172.247.14.114
174.81.8.120
18.166.50.160
185.165.190.17
192.241.141.118
192.241.193.87
192.241.220.192
192.241.223.27
192.241.252.87
192.81.218.108
198.12.255.244
198.199.116.39
198.23.233.28
2001:470:1:c84::19
2001:470:1:c84::21
20.223.168.223
20.226.1.51
20.228.209.161
204.48.22.232
20.49.201.49
205.185.117.82
20.52.232.156
206.189.151.151
206.189.192.55
206.189.226.38
207.244.241.72
208.109.33.133
20.87.73.140
20.88.121.148
209.141.40.19
209.97.162.138
23.224.111.206
23.225.194.32
35.237.244.47
40.76.95.234
44.202.115.25
45.61.184.111
47.45.19.148
50.73.185.124
52.173.86.248
54.206.74.107
64.227.165.108
64.227.190.66
64.62.197.152
64.62.197.32
66.110.114.178
67.205.156.45
67.207.94.180
67.63.94.101
68.183.216.91
68.183.77.86
68.183.81.38
68.183.88.186
68.183.97.225
69.76.9.246
73.191.114.216
UY
138.94.75.17
143.208.134.84
148.202.1.200
148.235.82.68
161.132.98.155
VE
190.202.124.93
vn
222.252.243.104
VN
103.162.98.59
103.170.246.34
103.35.65.169
116.105.167.63
116.105.212.31
116.105.216.128
116.110.3.253
116.110.55.136
118.69.82.100
123.30.149.76
123.30.157.239
125.212.251.45
14.225.255.14
171.244.139.236
27.71.233.66
45.119.81.236
ZA
163.197.34.207
ZZ
49.12.188.106
Voilà, cela donne un bon début de réponse a mon interrogation …
Du coup, une petite question :
Pourquoi ne pas bloquer les plages d’adresse IP attribuées à certain pays, directement avec iptables ?
Parce qu’avec la liste des IPs Chine (par exemple) une boucle for avec iptables -I INPUT -s "$IP" -j DROP -v suffi à bloquer les adresses du pays.
Qu’en pensez-vous ?
@jarod5001 l’évoquait déjà:
Je n’étais pas parti sur cette piste pour 2 raisons:
1-Je ne suis pas forcément à l’aise avec iptables, disons que je ne m’y suis jamais intéressé, et je voulais quelque chose de souple pour ajouter et retirer facilement un pays occasionnellement avec simplement un code geo à ajouter. Mais c’est vrai que c’est certainement adaptable ce principe avec iptables.
2-Je ne veux pas forcément bloquer tous l’accès car j’utilise le mail. Je suppose (sans certitude car non testé mais ça semble probable) que bloquer un pays avec iptables empêcherait aux serveurs mails situés dans ce pays d’envoyer du mail. Seul un blocage de l’accès Web me parait dans ce cas suffisant d’autant plus que je n’utilise SSH qu’en local.
3- Plutôt qu’une boucle for, l’utilisation du module geoip pour iptables me parait plus adapté. Autant utiliser ce qui existe déjà. Par contre il est possible qu’il faille utiliser une autre source que Maxmind comme je l’ai fais pour ce hook car il me semble que les listes Maxmind ne sont plus en libre accès.
Je reste cependant intéressé par un hook qui utiliserait iptables et modifiable facilement avec le code geo. Selon les pays, soit on utilise iptables et on bloque tout, soit on utilise le hook de Nginx et on restreint seulement l’accès Web. Les 2 couplés permettrait encore plus de souplesse dans la geo-restriction.
Je n’ai pas le temps de me pencher là-dessus. Voici une autre page que j’ai trouvé qui traite du sujet si ça te dit de faire le hook:
https://docs.rackspace.com/support/how-to/block-ip-range-from-countries-with-geoip-and-iptables/
@kit : As-tu avancé dans ta recherche?
@metyun , non, je ne comprend pas pourquoi ça fait ça. Je soupçonne une redirection de yunohost qui déconne.
Y a des spécialistes nginx dans le coin ?
Edit : Il y a peut-être un truc à creuser du côté de try_files $uri
@metyun, merci pour cette réponse.
Je ne suis pas un expert d’iptables, j’ai seulement quelques bases. (Je ne connais pas du tout le fonctionnement des modules)
Avec iptables il est possible de faire des règles de traitement des paquets relativement fines.
Par exemple si je souhaite que les paquets en provenance de la plage d’adresse 1.0.0.0/24, qui utilise le protocole tcp et à destination du port 22 ne soient pas traité :
# Ajoute la régle
iptables -I INPUT -s 1.0.0.0/24 -p tcp --dport 22 -j DROP
Attention : Si on exécute deux fois cette commande, cela ajoute deux fois la même règle.
# Supprime la régle
iptables -D INPUT -s 1.0.0.0/24 -p tcp --dport 22 -j DROP
Je me suis amusé à faire un script pour créer ou supprimer les règles de blocage par pays.
Attention : ce script ne devrait pas être utilisé si vous ne comprenez pas ce qu’il fait (comme tous les scripts que l’on trouve au hasard des forums) et surement pas sur une machine en production 
De plus, comme @ljf l’a déjà dit sur le post 21 :
#!/bin/bash -e
# Bloque/unbloque les requêtes selon le pays et le port avec iptables
# 2022-04-30 creation
action=$1
pays=$2
port=$3
# Recup les ips du pays
function get_ips_pays {
pays=$1
url="http://www.ipdeny.com/ipblocks/data/aggregated/${pays,,}-aggregated.zone"
dest=/tmp/${pays,,}.zone
wget -q $url -O $dest
if [ $? == 0 ] ; then
pays=$dest
else
echo "ERR: get $url"
exit 1
fi
}
# Deux action possible (block/unblock)
function check_action {
action=$1
if [ ${action,,} == "block" ] ; then
action=" -I INPUT "
elif [ ${action,,} == "unblock" ] ; then
action=" -D INPUT "
else
echo "ERR: action is block or unblock"
exit 1
fi
}
# Verif le port
function check_port {
port=$1
if [ $port -ge 1 ] && [ $port -le 65535 ] ; then
port=" --dport $port "
else
echo "ERR: port in range 1-65535"
exit 1
fi
}
function help {
echo "geo_block.sh ACTION PAYS PORT"
echo
echo " ACTION block or unblock"
echo " PAYS code pays (cn, au, fr, ...)"
echo " PORT number port destination in 1-65535"
echo
echo "example: geo_block.sh block cn 22"
}
# main
if [ "$EUID" -ne 0 ] ; then
echo "Please run as root"
fi
if [ $# != 3 ] ; then
help
else
check_action "$action"
check_port "$port"
get_ips_pays "$pays"
for ip in $(cat $pays) ; do
iptables $action -s $ip -p tcp $port -j DROP
done
fi
exit 0
Exemple d’utilisation :
bash geo_block.sh block cn 22 → bloque les ips de chine pour le port 22bash geo_block.sh unblock cn 22 → débloque les ips de chine pour le port 22J’ai fait des tests sur une VM de test cela fonctionne, mais il y a encore des point à améliorer par exemple pouvoir spécifier plusieurs ports à bloquer.
Note : Sur ma machine de test le unblock était relativement long…
Si vous avez de retour, avis ou suggestion à faire je suis preneur
Hello
Il y a quelque chose que je ne comprends pas dans les scripts:
Le script /etc/cron.weekly/Geoipudapte télécharge la liste des IPv4 dans GeoIP.dat et des IPv6 dans GeoIPv6.dat.
Par contre, dans ce qu’on map dans country.conf, on ne fait référence qu’à GeoIP.dat:
# GeoIP databases
geoip_country /usr/share/GeoIP/GeoIP.dat;
map $geoip_country_code $allowed_country {
default no;
FR yes;
...
Nul part il n’est fait référence à GeoIPv6.dat : donc comment fait-il pour filtrer ou non les adresses IPv6?
Je pose la question car soudainement depuis cet ap-m, je me fait filtrer depuis une adresse ipv6 (pourtant en france) et j’ai donc du désactiver le hook pour pouvoir continuer à travailler.
Bon, ben j’aurais passer 10 minutes à chercher avant de poser la question j’aurais gagner du temps: d’après ce topic, GeopIPv6.dat contient les IPv6 ET les IPv4.
Il suffit donc de modifier dans le hook
echo "# GeoIP databases
geoip_country /usr/share/GeoIP/GeoIP.dat;
par
echo "# GeoIP databases
geoip_country /usr/share/GeoIP/GeoIPv6.dat;
et de régénérer et tout fonctionne de nouveau!!
Bonsoir @Krakinou ,
j’ai également passé 5-10 min à faire une recherche après avoir vu ta question et c’est bien ça, GeoIPv6.dat contient les ipv6 et ipv4.
J’ai fais l’erreur tout simplement car mon serveur tourne en ipv4 uniquement et j’ai adapté rapidement le script…avec quelques oublis malheureusement. Si j’avais passé 5 min. à vérifier avant de poster je t’aurais évité une prise de tête.
Imho tu devrais monter un dépôt git pour le projet.
On peut aussi virer le dl de la partie IPv4.
Edith : Test ok en utilisant uniquement la base IPv6 : j’ai réussi à me bloquer avec mon adresse IPv4.
Pas faux mais pour ça il faut connaître git ou tout du moins avoir la motivation pour l’apprendre… ce que je n’ai pas en ce moment. Ce script reste un partage d’une utilisation personnelle, si ça peut servir tant mieux et encore désolé pour les erreurs.
Je mettrai à jour demain ou dans la semaine en postant une version ipv4 et ipv6 car si j’ai bien compris, les ipv4 sont mappées en ipv6 dans le second fichier et il faut bien le fichier ipv4 si le serveur est uniquement en ipv4. Corrigez moi si ce n’était pas le cas.
Je suppose que la majorité des serveurs sont également en ipv6 de nos jours. Pour la petite histoire, J’avais désactivé l’ipv6 sur le serveur à l’origine pour permettre l’acceptabilité des mails et je n’ai jamais modifié depuis. Désormais ce n’est plus nécessaire, il existe le setting smtp.allow_ipv6 dans yunohost pour désactiver l’ipv6 uniquement pour les mails.
Pour moi, c’est à peu près ça sauf que le fait d’être en IPv6 est piloté par le client plutot que par le serveur (dans mon cas, je l’ai désactivé dans Firefox par exemple)
Je ne pense pas qu’il y ait besoin de 2 versions car le fichier GeoIPv6.dat couvre aussi bien les cas d’usage IPv4 que les cas d’usage IPv6 de ce que j’ai compris : maintenant il faudrait tester en vrai, si tu continue de pouvoir te connecter à ton serveur avec tes réglages IPv4 en utilisant le fichier GeoIPv6.dat, c’est que c’est bon.
Tiens j’ai un truc un peu vilain qui vient de se passer : je scanne le fichier IPv6, et je me fais dégager avec une 444 alors que je suis en IPv4 (j’ai vérifié, mon IP est bien dans un pays autorisé).
Si je change dans country.conf pour revenir à GeoIP.dat au lieu de GeoIPv6.dat ça marche à nouveau.
Du coup êtes vous bien certains que la v6 inclus les IP v4 ?
Si non, ne faudrait-il pas agréger les deux fichiers ?
C’est ce que je disais plus haut, tout du moins ce que j’ai compris, les ipv4 sont mappées en ipv6 dans le fichier GeoIPv6.dat. Donc si le serveur est en ipv6 ça bloque bien les ipv4 et les ipv6, il reconnait bien les adresses sous cette forme. Par contre si le serveur est en ipv4, il faudrait bien utiliser le fichier GeoIP.dat car les adresses ipv4 mappées en ipv6 ne sont pas reconnues.
Je ferai des tests pour voir si ça se vérifie mais ce que tu dis @kit va dans ce sens.
@metyun : trouvé sur les internets une méthode similaire pour la partie SSH => https://www.axllent.org/docs/ssh-geoip/ (il existe quelques variantes).
Le plus gros soucis semble être le fait que le paquet geoiplookup soit abandonné (du moins pour buster).
Soit on fait appel à une API (comme dans ce script => kit/Authentication_alert - authentication_alert.bash at master - Authentication_alert - Gitea ), soit, vu qu’on a déjà les bases de données, on adapte ton script dédié à nginx.
Qu’en penses-tu ?
Et bien en fait, je me suis rendu compte du même pb… Donc j’ai l’impression qu’il faudrait modifier le setting de nginx pour utiliser un fichier différent en fonction du type d’IP…
Je crois que je ne comprends pas bien le fonctionnement :
@Krakinou & @Kit , êtes-vous sûrs que lorsque l’ipv6 est activé sur le serveur en utilisant le fichier GeoIPv6.dat, les ipv4 de pays non autorisés ne sont pas bloquées?
Si le serveur est en ipv4 exclusif, il faut utiliser le fichier GeoIP.dat car le serveur ne sais pas lire le fichier GeoIPv6.dat dans ce cas. C’est ce que j’expliquais, les ipv4 sont mappées en un format uniquement lisible avec un serveur ou l’ipv6 est activé si on utilise le fichier GeoIPv6.dat. Il faudrait que je retrouve la source, je n’ai pas conservé la page où je l’ai lu.
Donc de ce que je comprends:
si le serveur est en ipv4 —> fichier GeoIP.dat, ne lis que les ipv4
si le serveur est en ipv6 —> fichier GeoIPv6.dat, doit lire les ipv4 et ipv6. Ne fonctionne pas avec un serveur ipv4 exclusif.
Tout simplement parce qu’ils ne peuvent pas communiquer entre eux. Un client ipv6 only ne peut pas communiquer nativement avec du serveur ipv4 only. Il faut utiliser des solutions spécifiques pour le permettre.
Je n’ai pas retrouvé la source mais la documentation de Nginx en parle:
http://nginx.org/en/docs/http/ngx_http_geoip_module.html
traduit par DeepL:
Lors de l’utilisation des bases de données avec support IPv6 (1.3.12, 1.2.7), les adresses IPv4 sont recherchées comme des adresses IPv6 mappées en IPv4.
soit je fais 2 hooks différents, soit une CLI pour détecter si le serveur est ipv4 only ou ipv6. Connaissez-vous une commande fiable pour détecter si l’ipv6 est activé?
grep inet6 <(ifconfig)
ferait-elle l’affaire? ifconfig est-il présent par défaut sur tous les serveurs Debian?
Pour ssh, oui ça doit sans doute être adaptable.
Perso je préfère fermer le port ssh comme mon serveur est à domicile, c’est un service sensible. Et si vraiment j’ai besoin de me connecter de l’extérieur, je privilégie toujours une connexion par clefs, ça me semble nettement plus sécurisé qu’une connexion par login/mdp.
C’est le package net-tools, qui n’est pas installé par défaut.