Pare-feu sans localisation géographique

[jcpamart]

Salut

Depuis plusieurs années, j'utilise mon Syno pour gérer mon serveur mail. Depuis 1 mois (presque) je reçois d'innombrables tentatives d'intrusions qui sont tout simplement bloquées par la protection des comptes et le pare-feu.

Cependant, malgré la limitation de certains pays d'origine, certaines IP ne sont pas géolocalisables.

J'ai donc coché dans le pare-feu les 2 premières options, celles des codes A1 & A2. Visiblement cela ne change rien.

Savez vous vous s'il est possible de bloquer une IP qui n'a pas de géolocalisation possible ?

Exemple d'un IP : 37.1.255.126, non localisable avec https://www.yougetsignal.com/tools/network-location/

Merci de votre aide

JC

[Al1ternet]

J'ai testé avec un autre géolocalisateur et l'IP serait Française.

Testé depuis une IP Belge 😉

 

Modifié le 8 janvier 2022 par Al1ternet

[jcpamart]

Ah !

Sauf que je cherche une règle qui pourrait se mettre dans le pare feu dans ce cas là....

[Mic13710]

Il y a 10 heures, jcpamart a dit :

Savez vous vous s'il est possible de bloquer une IP qui n'a pas de géolocalisation possible ?

S'il s'agit d'une ip précise, vous pouvez ajouter une règle avec l'option refuser. Il faut au minimum qu'elle soit placée avant les règles d'autorisation des ip externes. Vous pouvez la mettre carrément en tête de liste pour être sûr.

[jcpamart]

Non c'est pas ça :

J'ai mis en place la règle de blocage auto, ce qui banni les IP automatiquement notamment pour protéger mon serveur Mailplus.

Par contre, j'ai mis en place dans le pare feu (en haut des règles) quelques pays à bannir.

Mais le serveur de géolocalisation de Syno ne reconnais pas toutes les origines de pays de certaines IP, ce qui du coup rallonge la liste d'IP bannies (env. 150 à 200 par jour).

Dans l'absolu, c'est pas grave, c'est juste que cela met une liste pas croyable d'IP bannies qui pourraient être raccourcie....

Du coup j'ai contacté l'assistance pour savoir si on pouvait faire évoluer le détecteur de localisation.

Al1ternet

Il a pu trouver l'origine de l'IP en question, alors que moi avec mon site web, il ne l'a pas trouvé tout comme le syno.

C'est quoi ton site belge ?

Modifié le 8 janvier 2022 par jcpamart

[PiwiLAbruti]

Un simple whois donne beaucoup d'information sur une adresse IP ou un domaine :

https://whois.domaintools.com/37.1.255.126

Quels sont les ports que tu bloques à certains pays sur MailPlus ?

[jcpamart]

Il y a 2 heures, PiwiLAbruti a dit :

Un simple whois donne beaucoup d'information sur une adresse IP ou un domaine :

https://whois.domaintools.com/37.1.255.126

Quels sont les ports que tu bloques à certains pays sur MailPlus ?

Classique : 25, 465, 587

[PiwiLAbruti]

Seuls les ports tcp/465 et tcp/587 doivent être limités aux clients SMTP qui les utilisent.

Le port tcp/25 est utilisé entre les MTAs et n'a pas besoin d'être limité si ton serveur est correctement configuré.

[jcpamart]

C'est à dire, j'ai pas compris....

[PiwiLAbruti]

C'est-à-dire que les ports 465 et 587 ne peuvent être ouverts qu'à ton pays de résidence. Seul le port 25 a besoin d'une exposition plus large sur internet pour recevoir les messages.

[jcpamart]

En fait, y a 2 choses :

Le blocage d'IP se fait bien par la protection du compte. Donc pas de soucis.

Par contre, j'ai bien mis les applications (Mailplus.......) en blocages par pays dans le pare feu, sauf que bcp d'adresse IP ne sont pas résolue de façon géographique. Du coup, ça génère une liste très longue d'IP bloquée.

Donc le blocage d'IP par compte et le pare feu fonctionne, sauf la résolution géolocale qui pourrait à mon avis être optimisée....

[PiwiLAbruti]

Quand tu parles de MailPlus, il s'agit du paquet client ou serveur ?

[jcpamart]

J'utilise les 2

[PiwiLAbruti]

Je m'en doute bien, mais quand tu dis :

Il y a 3 heures, jcpamart a dit :

Par contre, j'ai bien mis les applications (Mailplus.......) en blocages par pays dans le pare feu,

Tu parles bien de MalPlus Server ?

[jcpamart]

Ah oui bien sûr

[PiwiLAbruti]

Pour sécuriser MailPlus Server, il faut en premier lieu valider tous les mécanismes de sécurité SPF, DKIM, et DMARC. Ensuite, l'ouverture du port 25 au monde entier n'est pas un souci (je vérifierai si je n'ai pas configuré d'autres subtilités). On peut voir énormément de tentatives échouées de relaying sur le port tcp/25 dans les logs de sécurité de MailPlus Server.

Ensuite, il faut identifier les adresses ou réseaux depuis lesquels les clients se connectent aux protocoles SMTP (tcp/465 ou 587), IMAP (tcp/993), et POP (tcp/995), et restreindre les accès depuis ces seuls réseaux. Dans mon cas, ne consultant mes messages que depuis mon opérateur mobile (Freemobile), seul le réseau 37.160/12 a accès à ces ports (le reste des consultations se faisant en local).

Pour identifier les réseaux du RIPE-NCC (incluant l'Europe), il suffit d'utiliser le fichier de registre mis à jour quotidiennement :

https://ftp.ripe.net/ripe/stats/membership/alloclist.txt

Si certains utilisent des méthodes de sécurisation IP plus efficaces, je suis preneur 🤓