Bloquer certaines adresses ip à accéder au serveur [SME]

Georges Charpenay — 2015-10-27T09:21:12Z

SME 9

Il arrive quelquefois d'avoir des personnes de mauvaise fréquentation sur internet qui essaient de s'accaparer votre serveur, ou de faire bien des choses malveillantes.

Il peut alors être utile de verrouiller le serveur pour ne pas donner suite aux requêtes provenant des adresses ip de ces personnes.

Il faut d'abord créer une template qui liste les IP bloquées.

mkdir -p /etc/e-smith/templates-custom/etc/rc.d/init.d/masq/ nano -w /etc/e-smith/templates-custom/etc/rc.d/init.d/masq/40DenyRiffRaff

Dans ce fichier, nous allons ajouter les adresses ip à bannir (une ligne par adresse ip) :

/sbin/iptables -A INPUT -s 183.60.48.25/32 -j DROP

Volontairement, je n'ai écrit qu'une adresse ip, mais le fichier en comporte plusieurs et vous pouvez jouer sur les masques d'adresses.

Une fois le template créé, il faut l'appliquer aux fichiers de configuration et redémarrer le service concerné.

expand-template /etc/rc.d/init.d/masq

Puis redémarrer le service concerné.

/etc/init.d/masq restart

C'est verrouillé, vous pouvez vérifier que les adresses ip sont bien bloquées qui devraient être dans la colonne "source" du résultat de la commande suivante :

iptables -L INPUT -v -n

Et voici le résultat (copie d'écran partielle)

ipbannie

Notez que je n'ai aucun mérite à écrire cet article qui est pratiquement la traduction de ce qui est publié ici, mais j'ai eu du mal à trouver cette solution que j'ai appliquée sur sme 9, et que c'est toujours agréable de retrouver l'explication dans la langue de Molière. Un grand merci donc, aux auteurs de cette contribution originale.

SME & SPIP - Bloquer certaines adresses ip à accéder au serveur [SME]

Georges Charpenay — 2008-10-07T16:11:01Z

Bloquer de façon permanente plusieurs adresses IP externes contenues dans un fichier

Voilà, un ou deux sites chinois ou japonais viennent me casser les pieds sur ce site avec un robot qui insère automatiquement des participations aux forums de ce site.

La première chose à faire, c'est de paramétrer spip pour que les publications venant du forum soient validées par l'administrateur, a priori.

spip forum

Ceci est intéressant pour prévenir les sites qui ne s'entourent pas de précautions pour insérer leur pub ou faire écrouler des forums.

Au passage, si des contributions aux forums subsistent dans spip (interface privée), même après avoir été interdites (non-validées par l'administrateur), rappelez-vous que le moyen le plus radical de les enlever est d'aller dans la base mysql spip (avec par ex phpmyadmin), et repérer puis supprimer les enregistrements gênants. Ainsi, spip est tout propre d'un coup !

Si ces manips devaient se répéter trop souvent, c'est qu'un robot vous a pris pour cible, il faut alors bloquer ses requêtes, d'où l'objet de cette deuxième étape ci-dessous.

La deuxième étape, je l'ai trouvée sur un site génial qui utilise la même licence creative commons que le site où vous vous trouvez, et l'article qui suit est quasiment un copier-coller (autorisé par licence) du site sme-server.fr, entièrement dédié à la sme, et créé et maintenu par Monsieur Franck PIERRE, plus connu sur Internet sous le pseudonyme Grand'Pa.

Supposons que vous soyez confrontés à de nombreux pénibles... Je vous propose de créer un fichier /etc/masq_DropListOfIP qui contiendra des adresses et/ou des plages d'adresses IP devant être bloquées :

mcedit /etc/masq_DropListOfIP

Ce fichier ne doit contenir que des adresses ou plages d'adresses IP (une seule par ligne) et doit donc ressembler à ceci :

1.2.3.4 2.3.4.0/24 3.4.0.0/255.255.0.0

(attention à bien respecter la normalisation des adresses, les contrôles de validité des adresses et masques étant plutôt légers)

Passons maintenant à la création du fragment de template :

mkdir -p /etc/e-smith/templates-custom/etc/rc.d/init.d/masq mcedit /etc/e-smith/templates-custom/etc/rc.d/init./masq/91DropListOfIP

!Attention ! Pour des raisons d'édition sur ce site internet, concernant notamment la taille du cadre d'affichage, les deux dernières lignes de ce cadre en forment une seule :
mcedit /etc/e-smith/templates-custom/etc/rc.d/init./masq/91DropListOfIP. Evitez donc le copier-coller avec putty, qui ne prendra que la première ligne et oubliera le plus important, soit la fin de la phrase : init./masq/91DropListOfIP.

De plus, l'éditeur mcedit n'acceptant pas les "copier-coller" venant d'un autre système, vous pouvez, soit vous palucher le code et le retaper strictement dans le fichier avant de le sauvegarder, soit copier le fichier joint à cet article sous /etc/e-smith/templates-custom/etc/rc.d/init./masq/. J'ai opté pour la deuxième solution.

Pour les personnes qui sont un peu récalcitrantes au mode commande en ligne de linux, il existe un très bon outil libre : "winscp", que vous pouvez télécharger depuis le site que vous atteindrez en cliquant sur le lien de ce paragraphe.

Ce nouveau fragment contiendra le code suivant :

# Static drop IP start { use Net::IPv4Addr qw(:all); open (F_DROP, "</etc/masq_DropListOfIP") || warn "Cannot open input file /etc/masq_DropListOfIP: $!\n"; while ($line = <F_DROP>) { chomp($line); if ($line ne "") { ($ipaddress, $netmasq) = split(/\//, $line); $ipaddress = ipv4_chkip($ipaddress); if ( defined $ipaddress ) { if ( defined $netmasq ) { $ipaddress = ipv4_network($ipaddress, $netmasq); } $OUT .= " /sbin/iptables -I INPUT -i \$OUTERIF -s $ipaddress -j DROP\n"; } } } close(F_DROP); } # Static drop IP end

Là aussi, il faut faire prendre en compte cette modification par le système :

signal-event remoteaccess-update

L'intérêt principal de cette deuxième méthode est que le fichier /etc/masq_DropListOfIP peut être facilement créé à la volée par d'autres programmes.

Merci Grand'Pa !

INFO les barques

Bloquer certaines adresses ip à accéder au serveur [SME]

SME & SPIP - Bloquer certaines adresses ip à accéder au serveur [SME]

Bloquer de façon permanente plusieurs adresses IP externes contenues dans un fichier