Route add -host "nom de domaine" et pas ip blackhole ou reject

[Résolu/Fermé]
Signaler
Messages postés
30
Date d'inscription
mercredi 20 mars 2013
Statut
Membre
Dernière intervention
15 avril 2017
-
Messages postés
30
Date d'inscription
mercredi 20 mars 2013
Statut
Membre
Dernière intervention
15 avril 2017
-
Bonjour,


De retour...
Voilà cette fois je voudrais bannir des nom de domaines et pas une IP. car je sais que les domaines en question change d'ip.

Puis-je faire
route add -host internetscanningproject.org reject
et est-il possible et mieux de faire
ip route add blackhole internetscanningproject.org

D'avance merci de votre coup de main



3 réponses

Messages postés
30
Date d'inscription
mercredi 20 mars 2013
Statut
Membre
Dernière intervention
15 avril 2017

Un petit UP SVP !!!

C'est toujours dans la lutte des hackers

D'avance merci de votre coup de main
Messages postés
145
Date d'inscription
lundi 6 septembre 2010
Statut
Membre
Dernière intervention
8 décembre 2014
45
Salut,
J'ai jamais utilisé la table de routage autrement que pour des adresses IP, idem pour iptables je sais pas si ça peut fonctionner sur du DNS.

Pour bannir sur ton poste/serveur, le plus simple c'est de définir le DNS pour ce domaine de façon statique dans le /etc/hosts, en lui mettant par exemple l'adresse 127.0.0.1 comme ça se fait souvent.


Mais tu ne nous as rien dit sur ta configuration, tu veux bloquer ces domaines pour ton serveur ou pour des utilisateurs qui passent par ton serveur via d'autres machines ?

Dans le cas on ton serveur est une passerelle ou un firewall modifier le etc/hosts ne marchera pas car les clients font la résolution avant de contacter ton serveur et vont s'adresser à lui directement avec les IP.
Dans ce cas là il faut bannir ces nom de domaine sur les DNS utilisés par les clients. Mais ils peuvent s'adresser à un autre serveur DNS ou attaquer directement l'ip pour passer outre donc c'est une solution bof, sauf si tu es sûr que les machines qui passent par ton serveur n'utiliseront pas d'autre moyen pour accéder à ces domaines.
Sinon dans ce cas là bah il reste plus qu'à trouver toutes les IP du domaine et les rejeter.

Exemple trouvé sur le net :

Example - Block Facebook.com Domain

First, find out all ip address of facebook.com, enter:
# host -t a www.facebook.com
Sample outputs:

www.facebook.com has address 69.171.228.40

Find CIDR for 69.171.228.40, enter:
# whois 69.171.228.40 | grep CIDR
Sample outputs:

CIDR: 69.171.224.0/19

To prevent outgoing access to www.facebook.com, enter:
# iptables -A OUTPUT -p tcp -d 69.171.224.0/19 -j DROP

Ou encore :

You can also use domain name, enter:
# iptables -A OUTPUT -p tcp -d www.facebook.com -j DROP
# iptables -A OUTPUT -p tcp -d facebook.com -j DROP

Mais c'est une mauvaise idée
... specifying any name to be resolved with a remote query such as DNS (e.g., facebook.com is a really bad idea), a network IP address (with /mask), or a plain IP address ...
Messages postés
30
Date d'inscription
mercredi 20 mars 2013
Statut
Membre
Dernière intervention
15 avril 2017

Bonjour Gnugo,
Merci pour ta réponse :

Je suis aller voir pourquoi "is a really bad idea", et hélas je n'ai pas trouvé de réponse, c'est bien marqué que cela est une mauvaise idée mais sans autre explication, alors si tu sais n'hésite pas à me l'expliquer.

Pour mémoire ce n'est hélas pas illégale de scanner le réseau des autres, si si théoriquement ce n'est pas forcément dans un but malveillant (là un jour il faudra que l'on m'explique)

Bref, tu as du remarquer certain ont un projet de "sécurisation" du net le petit détail qui peut fâcher c'est qu'au lieu de prévenir les réseaux d'une possible faille, ils mettent à disposition de tous (donc également des hackers) des résultats. Il ne reste donc plus à une personne malveillante d'éplucher les résultats pour agir rapidement et sûrement.

"tu veux bloquer ces domaines pour ton serveur ou pour des utilisateurs qui passent par ton serveur via d'autres machines".

En fait les Les deux, je veux interdire l'accès direct, mais j'ai cru comprendre via les logs, qu'ils arrivent également sur la page puis demande leur domaine, afin de scanner.

Pour ce qui est de la config, une squeeze de base et après tout à la main...Bon je sais je ne suis pas de la "dernière génération", mais c'est le seul moyen que j'ai trouvé pour comprendre ce que je faisais.

Merci de ton aide.
Messages postés
145
Date d'inscription
lundi 6 septembre 2010
Statut
Membre
Dernière intervention
8 décembre 2014
45
Salut
Bien sûr que tu as le droit de scanner le réseau des autres, c'est quelque chose de tout à fait normal pour beaucoup de services et applis. Ce qui est ouvert et répond est là pour ça. Tout comme le réseau scanné a le droit d'enregistrer toutes les traces de ce que tu fais.
Ça devient illégal à partir du moment ou tu fais cela pour provoquer un déni de service par exemple ou autre but frauduleux immédiat autre que scanner


Je n'ai toujours pas compris ce que faisait ton serveur. C'est une passerelle ? Un proxy ? un serveur DNS ? un simple firewall ?


Résoudre des dns avec iptables ou le service de routage est une mauvaise idée car ce sont des services essentiels qui doivent répondre très rapidement.
Si on doit résoudre un dns pour chaque paquet (envoie requete dns + attente réponse) les temps d'accès vont exploser et ralentir énormément ton service.
Ce qu'il faut c'est déterminer AVANT la liste de toutes les IP des domaines que tu veux interdire. Et ensuite mettre à jour cette liste régulièrement, un peu comme un cache. Mais peut être que iptables ou un autre service peut faire tout cela tout seul, je ne sais pas.
Messages postés
30
Date d'inscription
mercredi 20 mars 2013
Statut
Membre
Dernière intervention
15 avril 2017

Merci Gnugo pour la réponse,

Effectivement voulant à tout pris me concentrer sur un domaine, j'en ai oublier que Debian n'utilisait pas de boule de cristal et ne pouvait savoir d'avance de qui venait une requête !!! il me faut du repos...

Par contre cela ne fait pas du tout mon affaire, il va falloir que je réfléchisse autrement.

Pour la discussion concernant si cela est normal ou pas, je vais en resté là car en général les gens ont tendance à s'emballer un peu trop. Toutefois si quelqu'un scan des réseaux externes aux siens et sans rapport de travail (maintenance ou autre) c'est pour trouver quelque chose qui n'est pas directement mis à sa disposition. Après à chacun d'interpréter cela à sa façon.

Merci encore de ton aide.