\/etc\/fail2ban\/jail.conf<\/code> :<\/p>\n$ sudo nano \/etc\/fail2ban\/jail.conf<\/pre>\nDans la partie # JAILS<\/code>, nous allons ajouter ces lignes :<\/p>\n[banabuseip]\r\n\r\nenabled = true\r\nfilter = banabuseip\r\naction = iptables-multiport[name=BanAbuseIP, port=\"80,443,110,995,25,465,143,585,993,587,21,22\", protocol=tcp,udp]\r\nlogpath = \/var\/log\/banabuseip.log\r\nmaxretry = 1\r\nbantime = 86400\r\n# 86400 = 1 jour<\/pre>\nD\u00e8s qu’une IP sera ajout\u00e9e, elle sera bannie durant 24h pour les ports et les protocoles indiqu\u00e9s.<\/p>\n
Filtre<\/h2>\n
Nous allons cr\u00e9er un filtre dans \/etc\/fail2ban\/filter.d\/banabuseip.conf<\/code> :<\/p>\n$ sudo nano \/etc\/fail2ban\/filter.d\/banabuseip.conf<\/pre>\nNous ajoutons ces lignes au fichier :<\/p>\n
#\r\n# Filtre BanAbuseIP\r\n#\r\n[Definition]\r\nfailregex = \r\nignoreregex =<\/pre>\nLogs<\/h2>\n
Nous allons ensuite cr\u00e9er un fichier de logs vide n\u00e9cessaire au bon fonctionnement de Fail2Ban :<\/p>\n
$ sudo touch \/var\/log\/banabuseip.log<\/pre>\nLe script<\/h1>\n
Maintenant que tout est en place, il ne nous reste plus qu’\u00e0 cr\u00e9er le script bash :<\/p>\n
$ sudo nano \/home\/pi\/scripts\/BanAbuseIP.bash<\/pre>\n\r\n#!\/bin\/bash\r\n\r\n# V\u00e9rifie que l'on est en Root\r\nif [[ $EUID -ne 0 ]];\r\nthen\r\n echo "Ce script doit \u00eatre ex\u00e9cut\u00e9 avec les privil\u00e8ges administrateur"\r\n exit 1\r\nfi\r\n\r\nAbuseIPDB_API_key=IciLaClefAbuseIPDB\r\nWhite_IP1="192.168" # IP du r\u00e9seau local\r\nWhite_IP2="104.31" # IP de CloudFlare qui h\u00e9berge AbuseIPDB : https:\/\/www.lookip.net\/ip\/104.31.74.222\r\n\r\nmy_array=( $(netstat -tn 2>\/dev\/null | grep :443 | awk '{print $5}' | cut -d: -f1 | sort | uniq | sort -nr | head) )\r\n\r\nfor ip in ${my_array[@]};\r\ndo\r\n echo $ip\r\n\u00a0\u00a0\u00a0 if [[ $ip == $White_IP1* ]] || [[ $ip == $White_IP2* ]] # IP locale et CloudFlare blanchies\r\n\u00a0\u00a0\u00a0 then\r\n\u00a0\u00a0\u00a0 echo "$(tput setaf 3)L'adresse a \u00e9t\u00e9 d\u00e9dect\u00e9e comme imblocable.$(tput setaf 7)"\r\n\u00a0\u00a0\u00a0 else\r\n\u00a0\u00a0\u00a0 curl_result=$(timeout -s SIGINT 3s curl -s "https:\/\/www.abuseipdb.com\/check\/$ip\/json?key=$AbuseIPDB_API_key")\r\n if [ "$curl_result" == "[]" ] ;\r\n then\r\n echo "$(tput setaf 2)Cette IP n'a pas \u00e9t\u00e9 report\u00e9e par AbuseIPDB.$(tput setaf 7)"\r\n else\r\n wget_result=$(timeout -s SIGINT 3s wget -q -O - https:\/\/www.abuseipdb.com\/check\/$ip)\r\n conf_abuse=$(echo $wget_result | grep -o -P '(?<=Confidence of Abuse is <b>).*(?=%<\/b>:)')\r\n if [ $conf_abuse -le 30 ]\r\n then\r\n echo "$(tput setaf 3)L'adresse a \u00e9t\u00e9 report\u00e9e par AbuseIPDB \u00e0 seulement $conf_abuse%.$(tput setaf 7)"\r\n else\r\n echo "$(tput setaf 1)Cette IP a \u00e9t\u00e9 bloqu\u00e9e car report\u00e9e par AbuseIPDB \u00e0 $conf_abuse%.$(tput setaf 7)"\r\n fail2ban-client set banabuseip banip $ip > \/dev\/null\r\n fi\r\n fi\r\n fi\r\n echo\r\ndone\r\n<\/pre>\nLe script va stocker toutes les IP connect\u00e9es au port 443 dans un tableau.<\/p>\n
Il va ensuite comparer chaque IP du tableau avec la base de donn\u00e9es AbuseIPDB gr\u00e2ce \u00e0 la commande curl<\/code>.<\/p>\ntimeout -s SIGINT 3s<\/code> va emp\u00eacher le script de se bloquer si la commande ne r\u00e9pond pas :
\nEx. Si la connexion internet est coup\u00e9e.<\/p>\n\n- On v\u00e9rifie si l’adresse est locale
192.168.xxx.xxx<\/code> ou est celle d’AbuseIPDB cah\u00e9e derri\u00e8re CloudFlare 104.31.xxx.xxx<\/code>\n\n- Si c’est le cas, on le dit en orange<\/span>.<\/li>\n
- Si ce n’est pas le cas, on v\u00e9rifie si le r\u00e9sultat est vide
[]<\/code>.\n\n- Si c’est le cas, c\u2019est que l\u2019IP est OK et on l\u2019inscrit en vert<\/span>.<\/li>\n
- Si ce n’est pas le cas on charge la page web d’AbuseIPDB et on extrait le pourcentage de confiance dans les r\u00e9sultats remont\u00e9s.\n
\n- Si le r\u00e9sultat est < 30% on l’indique en orange<\/span>.<\/li>\n
- S’il est > 30% on bannit l\u2019IP et on l\u2019inscrit en rouge<\/span>.<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n
Autre solution<\/h2>\n
Si on ne veut pas utiliser Fail2Ban, il est possible d’utiliser directement IPTables<\/code>.<\/p>\nOn remplace alors la ligne :<\/p>\n
fail2ban-client set banabuseip banip $ip > \/dev\/null<\/pre>\nPar celle-ci :<\/p>\n
iptables -I INPUT -s $ip -j DROP > \/dev\/nul<\/pre>\nRendre ex\u00e9cutable<\/h2>\n
Pour rendre le script ex\u00e9cutable :<\/p>\n
$ chmod u+x \/home\/pi\/scripts\/BanAbuseIP.bash<\/pre>\nCron<\/h1>\n
On va automatiser l’ex\u00e9cution du script avec cron<\/code> :<\/p>\n$ sudo crontab -e<\/pre>\nEt on ajoute ces lignes :<\/p>\n
# Banit les IP rep\u00e9r\u00e9es par AbuseIPDB\r\n# R\u00e9p\u00e9tition toutes les 3 minutes\r\n*\/3 * * * * sudo \/home\/pi\/scripts\/BanAbuseIP.bash > \/dev\/null 2>&1<\/pre>\nLe script sera ex\u00e9cut\u00e9 toutes les 3 minutes.
\nModifiez la p\u00e9riode en fonction du nombre de requ\u00eates qui seront effectu\u00e9es par jour.
\nAbuseIPDB en permet maximum 3000 par jour.<\/p>\n","protected":false},"excerpt":{"rendered":"
Introduction <\/p>\n
Malgr\u00e9 l’utilisation de Fail2Ban<\/a> et de listes d’IP \u00e0 bannir, mon Raspberry Pi subit encore des…<\/p>\n","protected":false},"author":1,"featured_media":3205,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"jetpack_post_was_ever_published":false,"_jetpack_newsletter_access":"","_jetpack_newsletter_tier_id":0,"jetpack_publicize_message":"","jetpack_is_tweetstorm":false,"jetpack_publicize_feature_enabled":true,"jetpack_social_post_already_shared":false,"jetpack_social_options":{"image_generator_settings":{"template":"highway","enabled":false}}},"categories":[10,3,173,12],"tags":[321,244,110,92,139,90],"jetpack_publicize_connections":[],"jetpack_featured_media_url":"https:\/\/www.fanjoe.be\/wp-content\/uploads\/2018\/04\/BanAbuseIP-00.png","jetpack_sharing_enabled":true,"_links":{"self":[{"href":"https:\/\/www.fanjoe.be\/index.php?rest_route=\/wp\/v2\/posts\/3185"}],"collection":[{"href":"https:\/\/www.fanjoe.be\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.fanjoe.be\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.fanjoe.be\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.fanjoe.be\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=3185"}],"version-history":[{"count":0,"href":"https:\/\/www.fanjoe.be\/index.php?rest_route=\/wp\/v2\/posts\/3185\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.fanjoe.be\/index.php?rest_route=\/wp\/v2\/media\/3205"}],"wp:attachment":[{"href":"https:\/\/www.fanjoe.be\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=3185"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.fanjoe.be\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=3185"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.fanjoe.be\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=3185"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}
![\"\"](\"https:\/\/www.fanjoe.be\/wp-content\/uploads\/2018\/04\/BanAbuseIP-01-300x67.png\")
<\/a><\/p>\n![\"\"](\"https:\/\/www.fanjoe.be\/wp-content\/uploads\/2018\/04\/BanAbuseIP-02-620x389.png\")
<\/a><\/p>\n