ipset et shorewall

Edit 2019-09-01 : j'ai mis le rafraîchissement en place toute les heures, c'est efficace a en juger les graphes Fail2ban.

--

Récemment j'ai pu faire la découverte d'ipset, une extension kernel Linux qui permet de faire des listes d'adresses ipv4/ipv6 et sous-réseaux utilisables avec iptables (et donc shorewall)

C'est très pratique quand vous en avez ras le bol de vous faire poutrer des services (SSH/FTP/Mail/etc) par des robots, fail2ban c'est bien mais si on peut bloquer le gros des méchants déjà connus c'est mieux.

Pour faire simple et à la main, il faut créer une liste en définissant son type (net/ip) puis l'alimenter :

## creation des sets
ipset create blacklist_net -exist hash:net family inet hashsize 16777216 maxelem 16777216 
ipset create blacklist_ipv4 -exist hash:ip family inet hashsize 16777216 maxelem 16777216
## alimentation d'une liste
ipset add blacklist_ipv4 8.8.8.8
ipset add blacklist_net 192.168.12.0/24

Exemples idiots mais vous voyez ou je veux en venir. Une fois la liste créé on peut l'utiliser dans une règle shorewall dans le fichier /etc/shorewall/rules par exemple :

DROP       net:+blacklist_ipv4 $FW
DROP        net:+blacklist_net  $FW
DROP        $FW         net:+blacklist_net
DROP        $FW         net:+blacklist_ipv4

Pour être plus efficace, et parce qu'alimenter ip par ip c'est pas l'objectif, il existe un projet open-source très bien fourni, Firehol, qui regroupe pour les besoins de sa solution un ensemble de listes d'adresses IP mises à jour régulièrement, toutes les heures voir toutes les minutes pour certaines.

Pour automatiser :

• Première solution, utiliser la solution Firehol
• Deuxième solution, pisser un script qui va télécharger les listes qui me plaisent et les bidouiller pour les utiliser dans mes ipset derrière.

J'ai mis en ligne une première ébauche d'un script bash+python qui fait tout ça sur mon dépôt Git : https://git.k3nny.fr/Tools/ipset_updater

Note : d'un point de vu technique, l'ajout des ip/subnet par une boucle python ou bash est beaucoup trop long, ipset permet l'import massif en utilisant la restauration de fichier, c'est cette méthode qui est utilisé (voir le script : https://git.k3nny.fr/Tools/ipset_updater/src/branch/master/ipset_update.sh )

Une fois le script lancé on obtient ça :

* 2019-08-28 20:00:10 Runinng list update
Reading lists of URL to download
= Update ipv4
- Downloading spamhaus
- Downloading bi_any_2_7d
- Downloading blocklist
- Downloading stopforumspam
- Downloading haley_ssh
- Downloading blocklist_ssh
- Downloading bi_any_2_1d
- Downloading bi_any__1_7d
- Downloading bi_any_0_1d
- Downloading bi_any_2_30d
= Update net
- Downloading ru
- Downloading emerging
- Downloading cn2
- Downloading cn
- Downloading bogons
- Downloading firehol
- Downloading pk
- Downloading sa
- Downloading kor
= Saved 280625 elements to ipset_ipv4.set
= Saved 24751 elements to ipset_subnets.set
* Create ipset blocklists if not already existing
* Import lists into ipset
== Import ipv4 ipset
== Import subnets ipset
* Saving ipset
* Cleanup ipset files

Avec les listes incluses ça fonctionne déjà assez bien, je constate moins de tentative de connexion ssh intempestives, à vous de faire votre choix de blocage en fonction de vos besoins (blocage par pays, listes de blocages).

• Je ne suis pas encore passé à Debian Buster, ni à nftables, visiblement nftables implémente les listes directement sans passer par une extension comme ipset.
• J'ai commencé à modifier le script pour prendre en charge les listes ipv6 mais j'ai eu la flemme

Des ressources pour gratter :

• https://ipset.netfilter.org/
• https://iplists.firehol.org
• https://shorewall.org/ipsets.html