# iblock
2021-03-12T21:07:51Z
Solène a encore eu une idée de génie : blacklister tous les petits malins qui tenteraient un accès sur des ports de toute façon inutilisés. Ces derniers sont certainement des bots à la recherche de failles. Ça s'appelle iblock, le code est très court ce qui assure son bon fonctionnement et sa sécurité. C'est le démon inetd qui se charge de gérer les connexions. Ainsi, aucune inquiétude d'avoir écrit un daemon foireux : inetd est éprouvé.

=> https://tildegit.org/solene/iblock iblock.

Je me suis amusé à participer un peu au code pour y ajouter le support de l'ipv6 notamment, et doas pour l'instant sur ma version locale.

## Ça donne quoi ?

Je bloque toutes les tentatives sur les ports 21 (ftp) et 23 (telnet), deux services inutilisés sur mon serveur, ainsi que quelques autres : 

```
"{ ftp telnet gopher finger sunrpc epmap netbios-ns netbios-dgm netbios-ssn microsoft-ds ipp ldaps ldp ms-sql-s ms-sql-m pptp mysql postgresql rfb rdp 27019 }"
```

Ou l'équivalent avec les nombres : 

```
"{ 21 23 70 79 111 135 137:139 445 631 636 646 1433:1434 1723 3306 5432 5900 5432 3389 27019 }"
```

Ces dernières 24h, 2511 IP ont été blacklistées. oO
Bien que mon serveur soit accessible en ipv6, seules des ipv4 ont été repérées, comme si les vilains préféraient.

C'est dire si c'est efficace, je ne m'attendais pas à tant :)

## Nettoyage régulier

L'installation est très simple. J'y ai ajouté un petit détail.
Pour éviter que la table ne soit trop remplie, et puisqu'après tout une IP peut redevenir gentille un jour, pensez à retirer les IP vieilles de plus de 24h (ou plus). J'ai ajouté ceci dans "/etc/daily.local":

```
/sbin/pfctl -t evils -T expire 86400
```

## Server-vous :)

Histoire d'en faire profiter un maximum de monde, je mets à votre disposition les IP malveillantes. La liste est mise à jour quotidiennement, n'hésitez pas à vous servir (prx.brutes):

=> /evils/

## Essayez!

Je vous invite à mettre en place un tel service sur votre serveur, ç ane peut qu'en alléger la charge puisqu'une fois sur liste noire, les IP ne peuvent plus rien tenter chez vous.

## Une réaction?

=> mailto:bla@bla.si3t.ch?subject=iblock 📧 Envoyez votre commentaire par mail.
=> mailto:bla+subscribe@bla.si3t.ch 📫 Abonnez-vous pour recevoir les réponses
=> /log/commentaires/ 📚 Consultez les archives.
=> mailto:bla+unsubscribe@bla.si3t.ch 💨 Vous désinscrire