Aller au contenu

[TUTO] Automatiser Blacklist depuis internet


Superthx

Messages recommandés

Le 14/05/2020 à 15:18, PPJP a dit :

Bonjour @Brenac

Oui et NON!

Oui: car cette commande doit être passée en tant que root

          Pour cela sudo -i puis le mot de passe admin (tapé en aveugle)

NON: car j'avais omis de le préciser!!!

CQFD 🙂 Nickel ma base est revenue a la normale. Zero puis reconstruction a 56k  IP environ. Merci !

Lien vers le commentaire
Partager sur d’autres sites

  • 7 mois après...

Hello tout le monde, 

question bête quelle est la porté du blocage ? 
DSM ou tout les services (port) genre SSH ?

 

Question 2 : dans le même genre, j'ai configuré DSM pour n'autoriser que les IP FR et via un VPN allemand j'arrive à me SSH. Une idée ?

 

merci

Modifié par max5962
Lien vers le commentaire
Partager sur d’autres sites

Le 10/01/2021 à 20:20, max5962 a dit :

question bête quelle est la porté du blocage ? 
DSM ou tout les services (port) genre SSH ?

Bonjour,

Oui tout est bloqué pour les IP concernées.

 

Le 10/01/2021 à 20:20, max5962 a dit :

Question 2 : dans le même genre, j'ai configuré DSM pour n'autoriser que les IP FR et via un VPN allemand j'arrive à me SSH. Une idée ?

Ouvre un autre sujet, car c'est HS ici. Tu peux aussi y poster une capture de ton pare feu.

Modifié par maxou56
Lien vers le commentaire
Partager sur d’autres sites

Le 22/12/2019 à 13:28, bruno78 a dit :

un grand merci aux auteurs de ce script, que je viens de mettre en place.

C’est Ruedi61 du la communauté allemande pour la grande partie du script, suivis de deux autres pour les corrections, l’un des topic ou le script apparaît en 2016 https://www.synology-forum.de/threads/automatischer-import-einer-blockliste.80679/

Tu aurais pu le savoir si l’auteur du tutoriel n’avait pas supprimé le début du script # by Ruedi61, 15.11.2016, sinon voici le git officiel du script :

https://geimist.eu:30443/geimist/Update_Blocklist/src/branch/master/update_blocklist.sh

Il devient un peu trop commun pour certains du forum de s’approprier le travail d’autres personnes.

 

Sinon les utilisateurs vous ne remarquez pas un peu de latence lors de l’accès à votre nas ? Que dit iptable suite à cette ajout de masse ?

Lien vers le commentaire
Partager sur d’autres sites

  • 1 mois après...

Coucou, désolé de déterrer ce sujet, cela va être mon prochain challenge.

La question que je me pose, ayant un RT2600ac ainsi qu'un DS416Play, vaut il mieux ajouter ce script sur mes deux appareils ou seulement le routeur accessible directement depuis internet ?

J’espère que ma question ne sera pas trop stupide. 🙏

 

Lien vers le commentaire
Partager sur d’autres sites

Il y a 17 heures, Diabolomagic a dit :

Coucou, désolé de déterrer ce sujet, cela va être mon prochain challenge.

La question que je me pose, ayant un RT2600ac ainsi qu'un DS416Play, vaut il mieux ajouter ce script sur mes deux appareils ou seulement le routeur accessible directement depuis internet ?

J’espère que ma question ne sera pas trop stupide. 🙏

 

Bonjour,

Ce choix doit être réalisé en fonction des "ports" ouverts sur l'installation selon si les connexions entrantes ne sont destinées qu'au NAS ou vers d'autres équipements.

Pour ma part je préfère fermer le tuyau en amont, juste les ports nécessaires sur la BOX (surtout pas de DMZ), blocage d'IP sources sur le routeur FW.

Lien vers le commentaire
Partager sur d’autres sites

il y a une heure, Juan luis a dit :

juste les ports nécessaires sur la BOX (surtout pas de DMZ)

Bof, à quoi bon créer plusieurs fois des ouvertures de ports, c'est le routeur derrière qui filtre. Une DMZ sur une IP dédiée à un routeur ne pose pas de problème en terme de sécurité. Ca revient à faire du bridge, tout simplement.

Lien vers le commentaire
Partager sur d’autres sites

il y a 44 minutes, Mic13710 a dit :

Bof, à quoi bon créer plusieurs fois des ouvertures de ports, c'est le routeur derrière qui filtre. Une DMZ sur une IP dédiée à un routeur ne pose pas de problème en terme de sécurité. Ca revient à faire du bridge, tout simplement.

Je ne vais pas ouvrir 65535 ports si j'en utilise que 3. Effectivement le deuxième routeur filtre à condition de ne pas se gourer dans la conf. Je préfère la méthode "ceinture et bretelles" et surtout une log lisible sur mon FW. Le "bridge" revient à supprimer un routage IP. La DMZ, c'est juste une adresse IP poubelle pour toutes les connexions entrantes avec ports inconnus.

Lien vers le commentaire
Partager sur d’autres sites

J'ai du commencer par le NAS car pas de carte SD sur le RT2600ac donc pas pu m'y coller.

A priori cela s'est passé en à peu prés 5 minutes tout au + pour la première exécution du script sur mon DS416Play (8Go de RAM), j'en suis un peu surpris, le tuto mentionnant un peu moins d'une heure à la première exécution de celui ci ?

Cependant ma liste d'adresse IP bloquées auparavant vierge est dorénavant renseignée avec 30637 IP :

blocageIPs.JPG.65faac90c5dbc03269fd1a914875a27c.JPG

Dois je en conclure que tout "roule" normalement ?

 

EDIT :

Deuxieme execution du script avec fichier log :


Demarrage du script sh v0.0.3: Thu Feb 18 13:36:44 CET 2021
30534 IP téléchargées sur lists.blocklist.de/all.txt
Echec chargement IP depuis le site mariushosting.com
30535 IP ont été traitées
30458 IP ont vu leur blocage prolongé
77 nouvelles IP ont été ajoutées
30637 IP seront bloquées suite à cette mise à jour
Fin du script exécuté en 0mn 5s

 

En gros je n'ai plus qu'a purger tout ce qui concerne mariushosting.com pour ne plus avoir aucune erreur ?
Qui peut m'expliquer quoi retirer du script, car à chaque essai, n'y connaissant rien en script, je me retrouve avec un fichier Log bardé d'erreur de synthaxe...

Modifié par Diabolomagic
Rajout du fichier LOG
Lien vers le commentaire
Partager sur d’autres sites

@Diabolomagic je ne l'utilise que sur DSM :

si tu réduis la boucle principale

for chx in $Choix; do
    .....         
done

à ceci simplement:

curl --max-time 30 -s "https://lists.blocklist.de/lists/all.txt" > $tmp2
nb2=$(wc -l $tmp2 | cut -d' ' -f1)
if [[ $nb2 -gt 0 ]];then
        sort -ufdo $tmp1 $tmp2 $tmp1
        nb=$(($nb+$nb2))
        if [[ $info == 1 ]];then
               echo "$nb2 IP téléchargées sur $host/$chx.txt"
        fi
else
        echo "Echec chargement IP depuis le site $host/$chx.txt"
fi          

ça devrait le faire.

Quant à la liste mariushosting.com, après en avoir profité tant qu'elle était en accès libre, je continue à l'utiliser en complément (manuellement) de temps à autres, en ayant contribué (raisonnablement), ce qui ne me choque pas puisqu'il y a du travail derrière. C'est un choix délibéré.

bruno78

Lien vers le commentaire
Partager sur d’autres sites

@bruno78

Bonjour, merci beaucoup de m'épauler car, n'ayons pas peur des mots, je suis vraiment largué dans ce domaine.

J'essai cela de suite.

Concernant mariushosting, je me tate car pour 5€ je ne trouve pas ca délirant. Si je comprend bien il faut renseigner le fichier filtreperso.txt avec les IP que l'on copie depuis mariushosting ?

J'ai fait la modif, ça me donne cela :


Demarrage du script autoblocksynology.sh v0.0.3: Fri Feb 19 14:38:51 CET 2021
28549 IP téléchargées sur lists.blocklist.de/.txt
Echec chargement IP depuis le site mariushosting.com
28550 IP ont été traitées
28453 IP ont vu leur blocage prolongé
97 nouvelles IP ont été ajoutées
28771 IP seront bloquées suite à cette mise à jour
Fin du script exécuté en 0mn 8s

 

Lien vers le commentaire
Partager sur d’autres sites

@bruno78

J'ai essayé d'en retirer un peu +, je dois mal m'y prendre.

Les erreurs suivantes reviennent a chaques execution du scipt :

/volume1/.../.../autoblocksynology.sh: line 183: syntax error near unexpected token `('
/volume1/.../.../autoblocksynology.sh: line 183: `    1)  echo "$nb_invalide:IP non traitée (format IP incorrect):  $ip"'

Voilà mon script en fichier joint. Je ne comprend pas ce qui cloche.

Comme tu peux voir, je me suis contenté d'effacer tous les "passage" faisant référence au ndd mariushosting.

Des idées ?

Modifié par Diabolomagic
Suppression PJ
Lien vers le commentaire
Partager sur d’autres sites

[mention=23494]PiwiLAbruti[/mention],
oui il y a clairement ceinture et bretelles, et SI le FW est bien configuré, cela doit recouvrir au moins 80% (95% ??) des adresses qui sont dans cette liste (Chine, .... ). Mais on y trouve aussi des adresses aux USA, ou des pays plus proches de nous dont on ne veut pas forcement se couper : à chacun de définir soigneusement ce qu'il jugera licite ou illicite en accès sur son NAS. Mais ok il y a grande redondance.
[mention=73220]Diabolomagic[/mention],
essaie avec ce script, je ne l'ai que légèrement bidouillé par rapport au script d'origine. En tout cas il fonctionne. Il ne prend que la liste 
 

Lien vers le commentaire
Partager sur d’autres sites

Bonjour,

Repassant sur ce forum après quelques mois d'absence, je constate qu'il y a eu du déterrage sur ce fil.
Je vais tenter d'apporter quelques explications complémentaires sur ce script.
Ne l'ayant pas conservé chez moi je me réfère a celui joint à mon post du 5 janvier 2000.

Ce script a été architecturé de manière à pouvoir être facilement modifié et comporte pour cela un chapitre PARAMETRAGE( lignes 19 à 45)

pour @Diabolomagic
La liste des sites à traiter figure à la ligne 28
Pour supprimer le traitement du site mariushosting il vous suffit de la corriger:
Liste_Url="https://lists.blocklist.de/lists/ \
https://mariushosting.com/wp-content/uploads/2018/07/deny-ip-list.txt"

devient
Liste_Url="https://lists.blocklist.de/lists/"

Accessoirement vous pouvez également supprimer les lignes devenues inutiles
de la ligne 134:   mariushosting.com)
à la ligne 161:     ;;

pour @bruno78
Si le site de mariushosting est maintenant protégé par un mot de passe (et un nom d'utilisateur?), l'utilisation de ce script est toujours possible.
Il suffit de passer ces données au wget de la ligne 140 par les options  --http-passwd=mot-de-passe (et --http-user=utilisateur)

Lien vers le commentaire
Partager sur d’autres sites

@PPJP

Il y a 4 heures, PPJP a dit :

Si le site de mariushosting est maintenant protégé par un mot de passe (et un nom d'utilisateur?), l'utilisation de ce script est toujours possible.
Il suffit de passer ces données au wget de la ligne 140 par les options  --http-passwd=mot-de-passe (et --http-user=utilisateur)

Merci pour la mise au point, je vais le configurer ainsi.

bruno78

Lien vers le commentaire
Partager sur d’autres sites

@PPJP

Bonjour, un grand merci pour ces explications très claires !

Je vais essayer cela dés que possible.

 

EDIT : Au top !!!
Demarrage du script autoblocksynology.sh v0.0.3: Sat Feb 20 09:24:07 CET 2021
27846 IP téléchargées sur lists.blocklist.de/all.txt
27847 IP ont été traitées
27762 IP ont vu leur blocage prolongé
85 nouvelles IP ont été ajoutées
28126 IP seront bloquées suite à cette mise à jour
Fin du script exécuté en 0mn 4s

 

Modifié par Diabolomagic
Ajout contenu fichier LOG
Lien vers le commentaire
Partager sur d’autres sites

@PPJP bonjour,

après un certain nombre de tentatives, pas moyen de récupérer automatiquement la liste mariushosting, même avec --http-password  positionné. Réponse invariable : "404 ressource not found".

Je continuerai à le faire à la main, de temps en temps, en plus de la liste lists.blocklist.de qui elle est accessible via le script.

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.