Le 22/10/2012 16:46, Xavier Beaudouin a écrit :
Bon c'est sympa, mais quitte à lancer un pavé dans la marre.... Quid des IPv6 ?
Si 2001:db8:1337::dead:beef arrive a ton fail2ban tu colles quoi dans ta RBL :
- l'ip en /128 ?
- le subnet en /64 ?
- le subnet en /56 ?
- ?
Parce que bon quand en SLAAC tu as un /64 chez certains fournisseurs, voire un /56 ou /48... Quid de l'utilité (ou inutilité) d'une RBL en IPv6...
/Xavier
Fail2ban ne sait pas gérer l'ipv6, pour être plus précis les jails savent lancer que iptables ou shorewall mais pas les versions v6 ip6tables et shorewall6. Certes on peut changer la commande mais du coup on choisit entre v4 et v6...
Pour ce qui est à banir, je dirais le plus petit subnet attribuable soit /64. Vu qu'une liaison fai, un loueur de serveur, ... ne sont pas sensé te donner moins que /64 c'est que tu as forcément à faire à une seule et même entité.
Après si l'ip fait parti d'un bloc plus grand, ma fois c'est qu'il n'en est pas digne si il fait des bétises ou si il est vérolé dans tous les sens et en plus en ipv6...
PS: ceux qui disent que l'IPv6 ne sert à rien qu'ils essayent de demander un PI IPv4 au RIPE ... :)
Les PI c'est fini depuis longtemps, la seule solution c'est d'être ton propre LIR avec les coups que cela comporte... Bien regarder d'ailleurs les nouveaux montants de cotisation à partir de janvier, les small LIR ont pris une sacrée augmentation.
De mon côté ayant besoin de refaire mon architecture à cause d'un fournisseur de serveur défaillant niveau réseau, j'en profite pour faire sauter l'adresse ipv4 interne et tout passer en ipv6. C'est pas gagné, j'espère ne pas être bloqué sous peu par des softs en production, déjà pour la métrologie Munin ne sait pas correctement se mettre en ipv6 ...