Filtrage IP sur OS X Server

Par Franck, . Lien permanent Internet

Surtout pour mémoire, et on ne sait jamais, ça peut servir à d’autres…

Avec OS Server est inclus un pare-feu adaptatif qu’il est possible de gérer pour, entre autre, ajouter des IPs en liste noire, histoire de rejeter celles qui sont un peu trop gourmandes[1].

Pour l’activer de manière permanente :

/Applications/Server.app/Contents/ServerRoot/usr/libexec/afctl -f

Pour le désactiver :

/Applications/Server.app/Contents/ServerRoot/usr/libexec/afctl -X

Une fois actif vous pouvez ajouter et retirer des IPs avec les commandes suivantes :

/Applications/Server.app/Contents/ServerRoot/usr/libexec/afctl -a 218.65.30.134 -t <durée-en-minutes>

Pour l’ajout[2] et :

/Applications/Server.app/Contents/ServerRoot/usr/libexec/afctl -r 218.65.30.134

Pour le retrait.

Pour lister les IPs actuellement en liste noire :

/Applications/Server.app/Contents/ServerRoot/usr/libexec/afctl -l

Pour ajouter une IP en liste blanche utilisez l’option -w et pour l’enlever l’option -x.

Nota : les IPs sont enregistrées en clair dans les fichiers /var/db/af/blacklist et /var/db/af/whitelist respectivement pour la liste noire et la liste blanche.

[ source : krypted.com : « Configure The Adaptive Firewall In macOS Server 5.4 for High Sierra » ]

Pour ceux qui n’ont pas l’application OS X Server installé, il y a moyen d’obtenir le même filtrage en modifiant la configuration et activant ensuite le pare-feu, dans les Préférences Systèmes.

Pour cela, en mode root (sudo), éditez le fichier /etc/pf.conf pour ajouter les deux lignes suivantes :

anchor "my-blacklist"
load anchor "my-blacklist" from "/etc/pf.anchors/my-blacklist"

Puis créez le fichier /etc/pf.anchors/my-blacklist avec le contenu suivant :

table <my-blacklist> persist file "/etc/my-blacklist-IPs.txt"
block log from <my-blacklist> to any

Enfin créez le fichier /etc/my-blacklist-IPs.txt en y mettant la liste des IPs qui vous posent problème. Nota un # en début de ligne permet de mettre des commentaires.

# My Blacklist
# ------------

218.65.30.134
123.244.9.84

Ce fichier, une fois créé (vérifiez que les permissions sont à rw-r-r, soit 644), activez le pare-feu depuis les Préférences Systèmes.

[ source : ikawnoclastic thoughts, « Mac OS X pf firewall: Avoiding known bad guys » ]

Notes

[1] Oui je sais, fail2ban peut aussi faire le job, mais ce n’est pas l’objet de ce billet.

[2] Si vous répétez cette commande avec la même IP le délai de mise en liste noire sera mis à jour avec la durée.

Ajouter un commentaire

Les champs suivis d'un * sont obligatoires

Les commentaires peuvent être formatés en utilisant la syntaxe Markdown Extra.

Ajouter un rétrolien

URL de rétrolien : https://open-time.net/trackback/13555

Haut de page