OVH Cloud OVH Cloud

Retour d'expérience sur la geo-localisation par iptables

1 réponse
Avatar
Olivier
--0000000000008845ca058ee1176a
Content-Type: text/plain; charset="UTF-8"
Content-Transfer-Encoding: quoted-printable

Bonjour,

J'envisage de prot=C3=A9ger quelques serveurs par des r=C3=A8gles iptables =
rejetant
des requ=C3=AAtes ne provenant pas de certains pays.

Comme ces serveurs sont =C3=A0 destination de clients fran=C3=A7ais, j'ai e=
n t=C3=AAte de
rejeter la terre enti=C3=A8re sauf la France et quelques pays o=C3=B9 des c=
lients
passeraient leurs vacances.

Qui a d=C3=A9j=C3=A0 utilis=C3=A9 dans Debian un module d=C3=A9terminant le=
pays =C3=A0 partir d'une
IP ?
Quel retour d'exp=C3=A9rience ?
Avec la raret=C3=A9 des adresses IPv4 et j'imagine, la revente de plages en=
tre
op=C3=A9rateurs divers, une telle d=C3=A9tection fonctionne-t-elle correcte=
ment pour
la France ?
Comment s'op=C3=A8re la mise =C3=A0 jour des r=C3=A8gles ?
Suggestions ?

Slts

--0000000000008845ca058ee1176a
Content-Type: text/html; charset="UTF-8"
Content-Transfer-Encoding: quoted-printable

<div dir=3D"ltr"><div>Bonjour,</div><div><br></div><div>J&#39;envisage de p=
rot=C3=A9ger quelques serveurs par des r=C3=A8gles iptables rejetant des re=
qu=C3=AAtes ne provenant pas de certains pays.</div><div><br></div><div>Com=
me ces serveurs sont =C3=A0 destination de clients fran=C3=A7ais, j&#39;ai =
en t=C3=AAte de rejeter la terre enti=C3=A8re sauf la France et quelques pa=
ys o=C3=B9 des clients passeraient leurs vacances.</div><div><br></div><div=
>Qui a d=C3=A9j=C3=A0 utilis=C3=A9 dans Debian un module d=C3=A9terminant l=
e pays =C3=A0 partir d&#39;une IP ?<br></div><div>Quel retour d&#39;exp=C3=
=A9rience ?</div><div>Avec la raret=C3=A9 des adresses IPv4 et j&#39;imagin=
e, la revente de plages entre op=C3=A9rateurs divers, une telle d=C3=A9tect=
ion fonctionne-t-elle correctement pour la France ?</div><div>Comment s&#39=
;op=C3=A8re la mise =C3=A0 jour des r=C3=A8gles ?</div><div>Suggestions ?</=
div><div><br></div><div>Slts<br></div></div>

--0000000000008845ca058ee1176a--

1 réponse

Avatar
Haricophile
Le mardi 30 juillet 2019 à 13:57 +0200, Ph. Gras a écrit :
Si le trafic est effectivement destiné à être circonscrit à une zone
géographique spécifiée, il conviendrait plutôt d'exclure toutes les
zones à l'exception de la zone cible. On peut le faire efficacement
dans la configuration de son serveur Web, et pour un MTA je ne
sais pas… Mais c'est très restrictif : pour l'utilisateur, interdit de
partir en vacances à l'étranger ! Peut-être pour une école, alors ?

D'autant que le VPN est à la mode... je me demande si identifier les
plages d'IP n'est pas beaucoup plus productif que la géolocalisation
sans avoir les outils d'espionnage généralisés qui vont avec...
Bref, banir les pays entiers c'est plutôt pour moi une méthode qui
fleure bon la nostalgie des temps passés, ainsi qu'une manière très peu
subtile et avec des effets secondaire potentiellement importants pour
résoudre ce genre de problème.