Nombre de connexions E-Mail Statistiques du site
Bio

vendredi 3 avril 2026
Nombre de visites : 1

La vie du serveur - Liste de blocage d’ip, iptables et ipset

Sur mes serveurs, j’ai des protections dont fail2ban. C’est très efficace comme lors d’une campagne de spam décrite dans cet article, mais de par son mode de fonctionnement, il intervient âpres le debut de l’attaque. Et la, ça fait plus d’un mois qu’un de mes serveurs subit une attaque sur le port ssh. Fail2banb se débrouille très bien mais ça rempli sa base d’ip pourrie et c’est apres coup (plus de 3000 ip bloquées). Et ça bouffe de la mémoire inutilement...

Et je suis tombé sur cet article : Data-Shield - La blocklist qui vire les IPs pourries. Pile ce qu’il me faut !!!

Bon, y a pas de script pour gérer tout ça, je vais m’y mettre, ça me fera apprendre la manipulation de iptables...

Je lance mon premier test de près de 80000 adresses sur mon PC (16Go de RAM) : ça marche, ça charge rapidement en plus. Je teste sur mes Raspberry et la, c’est le drame : ça commence à ralentir vers 20000 entrées et ça bloque le Raspberry vers 40000 ...
Iptables n’est pas taillé pour ça ...

Je suis dépité mais pas vaincu : je découvre la commande ipset. Cette commande gère des liste d’ip/network et travaille avec iptables. Une seul regle à ajouter à iptables pour lui dire de DROP les ip contenues dans une liste ipset et à charger ipset.

Je tente le coup et raté, y a une limite écrite en dur pour ne pas dépasser 65535 adresses ... Pas grave, je crée 3 listes pour avoir de la marge et je retente : ça marche que mon PC et surtout, ça marche sur les Raspberry !!! Youpi !!!

On verra avec le temps si ça aide fail2ban ...

Le script fonctionne comme suit :

  • création des ipset et des règles iptables si elles existent pas (ces listes n’existent qu’en mémoire, il faut les recréer à chaque reboot mème s’il existe des moyens de sauvegarder ça... je reste en mode simple ...)
  • extraction de la liste d’ip stockée dans ipset
  • téléchargement de la liste actualisée
  • diff entre les deux pour avoir les ip à supprimer (les ip redevenues gentilles ;-) ) et à ajouter
  • travaille sur ipset en ajoutant/supprimant les ip
  • et envoie de mail à la boite mail avec le nombre de lignes ajouter/supprimer

Tout ça géré en cron, tous les jours et à voir peut être toutes heures ...

Une protection de plus ...

Et au passage, parce que c’est possible, passage de fail2ban en ipset, pour gagner de la performance !!!



Répondre à cet article