Appliquer facilement un filtre HADOPI et journaliser ses entrées

« Mais non, c'est pas difficile de faire son propre - L'Automobile, c'est pas bien ! Partie 2 : Le CO₂ »

sept.

Appliquer facilement un filtre HADOPI et journaliser ses entrées

Par Gibbon le lundi 27 septembre 2010, 18:00 - Le Gorille se rebiffe - Lien permanent

Juste pour le fun…

Si tu maîtrises à 100% ton routeur (ou si tu maîtrises à 100% ton pare-feu personnel), tu peux toi aussi te prémunir très facilement des soucis que tu pourrais rencontrer sur Internet.

Pour cela, c'est très simple, on commence par se rendre sur le site du RIPE (c'est l'organisme qui distribue les adresses IP sur Internet pour la partie européenne). Une fois que tu auras tapé le mot-clé « HADOPI » dans le champs recherche, tu pourras admirer les plages d'adresses IP qui ont été attribuées à la Haute Autorité. Oui, parce qu'il faut savoir que la HADOPI ne peut pas utiliser des adresses chez M. Orange ou M. SFR pour espionner les réseaux de P2P. Sinon, elle pourrait se faire dénoncer elle-même, ce qui provoquerait une rupture du continuum espace-temps qui pourrait déchirer le tissu même de l'univers… Ou elle pourrait s'envoyer une lettre recommandé et se suspendre l'accès Internet.

Bien sûr, il ne faut pas non plus oublier les quelques adresses indispensables de TMG, le bras armé de la HADOPI. La page Wikipédia nous renseigne également sur les IP publiques utilisées par les serveurs chargés de faire la détection sur les réseaux P2P, des contrefacteurs honteux, de ces criminels en puissance qui menacent de lapider nos artistes que nous aimons tant à coup de bits (sans mauvais jeu de mots… enfin, si en fait ^^).

Ainsi font, font, font les petits paquets IP

On va donc se servir de cette mine de renseignement ainsi que de la calculatrice IP de HobbesWorld, que je me permet de remercier au passage, pour mettre en place quelques règles dans ton pare-feu/routeur préféré. Le but ici est exclusivement de respecter les lois et directives européennes et notamment 2002/58/CE et 95/46/CE relative à la protection de la vie privée et des données personnelles.

Donc, prenons par exemple, cette plage pour la HADOPI :

Notre petite calculatrice IP nous indique cette plage correspond au masque 28, ce que l'on peut vérifier très facilement avec la commande sipcalc :

$ sipcalc 90.80.100.192/28 | grep range
Network range		- 90.80.100.192 - 90.80.100.207
Usable range		- 90.80.100.193 - 90.80.100.206

Allez, je suis bon prince, je t'épargne les calculs, voici l'ensemble des adresses pouvant être utilisées par la HADOPI ou la société TMG, avec leur masque et tout le tralala :

85.159.236.252/30
85.159.232.80/30
82.138.81.211
193.107.240.0/22
193.105.197.0/24
90.80.155.240/28
90.80.155.208/28
90.80.100.192/28
80.12.48.0/24
195.6.180.141

Voilà, voilà, voilà *sifflote*

Reste maintenant à éditer quelques règles au niveau du pare-feu pour empêcher les empêcheurs de tourner en rond de nuire à tes télécha^W^Wta vie privée.

« HADOPI, ça marche ! »

J'utilise un routeur/pare-feu Linux, je donnerai donc seulement les règles iptables qui vont bien, je te charge d'adapter à ta situation/ton matériel. Donc, une règle toute conne comme celle qui suit devrait faire l'affaire :

iptables -I FORWARD -p all -s 85.159.236.252/30,85.159.232.80/30,\
82.138.81.211/32,193.107.240.0/22,193.105.197.0/24\
90.80.155.240/28,90.80.155.208/28,90.80.100.192/28\
80.12.48.0/24,195.6.180.141/32 -j DROP

Bon évidemment, il vaut mieux la mettre avant d'autres règles (des fois que tu ais d'autres choses à bloquer…). Maintenant, il ne reste plus qu'à vérifier que cela fonctionne…

Hé, ho, on est pas cousins !

Pour cela, je te propose deux méthodes, une compliquée, une simple :

pinguer l'adresse 193.105.197.1 : si elle répond, c'est pas bon. Si elle ne répond pas, c'est bon.
télécharger un film sur un réseau P2P quelconque et attendre la lettre recommandée.

Plus sérieusement, on peut très simplement logguer les paquets avec une petite bafouille de ce type, avant la règle donnée au point précédent :

iptables -I FORWARD -p all -s 85.159.236.252/30,85.159.232.80/30,\
82.138.81.211/32,193.107.240.0/22,193.105.197.0/24\
90.80.155.240/28,90.80.155.208/28,90.80.100.192/28\
80.12.48.0/24,195.6.180.141/32 -j LOG --log-prefix 'HADOPI '

Si nos petits camarades responsables de certains trackers célèbres peuvent appliquer le même filtre, ce serait encore mieux. Et au passage, je vous déconseille fortement de vous connecter avec un client eMule sur les adresse en 85.x.x.x citées dans le présent billet.

Commentaires

1. Le mardi, septembre 28 2010, 13:16 par Marmouset

On t'aime gibbon ! Maintenant reste plus qu'a créer une liste dynamique et à jour des adresses de ces organismes.

2. Le mardi, septembre 28 2010, 13:25 par Marmouset

Aller pour le fun tu nous donnes la ligne de commande pour notre pare feu Windows ME ?

3. Le mardi, septembre 28 2010, 14:01 par Gibbon

Pare-feu… Windows ME… FATAL ERROR

…

Reboot

…

Tu disais Marmouset ?

4. Le mardi, septembre 28 2010, 14:32 par Marmouset

Nan mais un truc qui fitte pour un windows XP / 7 histoire de vulgariser toussa ...

5. Le mardi, septembre 28 2010, 18:28 par Gibbon

Formater et installer Ubuntu (y).

Plus sérieusement, la plupart des routeurs des fournisseurs d'accès (même Orange, c'est dire !) proposent une fonctionnalité pour bloquer des adresses ou des plages d'adresses. Dans l'absolu, ça suffit amplement. Reste à savoir si l'on fait confiance au matériel « étranger » pour ce genre de blocage.

Je ne sais honnêtement pas si Windows peut faire la même chose (quelque soit la version), sans être aidé par un anti-virus/pare-feu externe.

6. Le mercredi, septembre 29 2010, 11:20 par Marmouset

Ben il y a un pare feu dans windows donc même si c'est pas la panacée je dirais que c'est faisable. Comme il ne s'agit pas d'empêcher une intrusion d'un Jedi Hacker, le pare feu windows devrait suffire.

7. Le mercredi, septembre 29 2010, 11:21 par Marmouset

un truc genre

netsh firewall add portopening protocol=TCP port=80 name=”Web Server (TCP 80)” mode=ENABLE scope=SUBNET profile=DOMAIN

mais dans l'autre sens ^^

8. Le mercredi, septembre 29 2010, 11:26 par Marmouset

Haha je viens de tilter le "journaliser ses entrée"

On pourrait dresser une liste des martyrs de l'HADOPI ensuite

9. Le mercredi, septembre 29 2010, 20:29 par Gibbon

Personnellement, j'ai pas encore d'entrée HADOPI dans mes logs. Et pourtant, c'est pas faute d'avoir essayé !

D'une certaine manière, je trouve ça un peu vexant.

10. Le jeudi, septembre 30 2010, 13:49 par PERECil

C'est bien mignon tout ca, mais euh... les logiciels de la HADOPI ne se connectent normalement pas aux autres clients, ils ne font que choper la liste des IPs des clients sur le serveur du tracker, non?

11. Le jeudi, septembre 30 2010, 13:59 par NoarZ

Belles explications et merci pour toutes ces infos, mais un doute m' habite :
C est pas Hadopi qui flashe mais TMG plutot ?
Il ne faudrait pas aussi chercher de ce coté la ? ( je dis ca c est parce que leurs ip sont deja dans les regles de blocage de la mule par exemple lol )

12. Le jeudi, septembre 30 2010, 14:57 par Marmouset

Les ip de TMG font bien parties du lot. Et la présence de l'ip sur le tracker n'est pas (à mon sens) une preuve suffisante. Surtout qu'avec les DHT le tracker devient de plus en plus obsolete.

13. Le jeudi, septembre 30 2010, 15:16 par Gibbon

Le fonctionnement des différents logiciels de P2P est sensiblement différent mais il y a une constante que l'on retrouve partout : on récupère plus de pairs par l'échange de pairs (PEX sur BitTorrent, je sais plus le nom sur eMule) qu'en se référant au tracker (qui ne contient que les IP des premiers pairs en gros…).

Donc le code ci-dessus ne garantit pas qu'on ne se fera pas repéré. Cependant, il amoindrit les chances. Et si les trackers l'utilisent aussi, les chances deviennent très très faibles.

Je ferai peut-être un machin de vulgarisation du fonctionnement de BT/Mule/autres si j'ai quelques minutes à y consacrer aujourd'hui.

14. Le jeudi, septembre 30 2010, 16:38 par NoarZ

Oui peut etre mais il en manque
91.189.104.0/20
82.138.70.128/26
217.205.84.24/8
87.253.152.0/127

allez voir mm sur wikipedia
Et pourqoui tu me parles de tracker?

15. Le jeudi, septembre 30 2010, 17:25 par Marmouset

Je répondais à PERECil et à toi dans le même message.

Je n'ai pas vérifié toutes les adresses que tu donnes mais au moins 217.205.84.24 n'appartient pas à Trident Media Group mais Talent Media Group.

C'est un cas d'école de sur-filtrage (pour ces messieurs de la LOPPSI 2)

16. Le jeudi, septembre 30 2010, 18:06 par NoarZ

Certes je me suis peut etre empressé avec les initiales
Mais les deux premieres ...
Allez c etait pour apporter de l eau au moulin.
la deuxieme est mm plus large que l annonce sur Wiki, a savoir 82.138.70.128/63

17. Le jeudi, septembre 30 2010, 18:23 par Gibbon

/63, ça n'existe pas :P

Le but de l'article présent n'est pas forcément de donner un mode d'emploi de ce qu'on peut faire pour contrer HADOPI.

Le but est de démontrer que cette loi fait preuve d'un sophisme dont nous n'avons pas encore mesuré toute l'absurdité. C'est parce que cette loi existe que les gens utilisent du torrent chiffré. C'est parce que cette loi existe que les gens comme moi mettent en place des filtres.

Maintenant, selon le même principe (simple) de recherche d'informations, tu peux mettre en place le filtrage que tu veux sur l'organisme/société/personne que tu veux. Ce n'est pas le seul filtre que j'ai mis sur mon routeur…

18. Le vendredi, octobre 1 2010, 14:07 par bébéréseau

Je voulais juste rajouter :

C'est parce que cette loi existe que certain son obligé (ou pas) d'utiliser le beau et ravissant Wifi de nos gentils voisins.

Amen !!!!!

19. Le vendredi, octobre 1 2010, 14:38 par Marmouset

On ne peut pas dire que ce soit réellement une best practice ...

20. Le samedi, octobre 2 2010, 10:43 par Ju

C'est bien joli, mais rien empêche tmg ou hadopi d'utiliser un proxy ou vpn ...

21. Le dimanche, octobre 3 2010, 08:38 par Gibbon

Si justement ! Étant un organisme d'état, il est tenu à la transparence : il n'y a que les services liés à la sécurité du territoire qui ne sont pas tenus à cette obligation.

La HADOPI doit toujours agir en son nom propre et avec sa vraie identité. Pareil pour TMG. Et puis, ce serait assez paradoxal qu'une loi qui au départ proposait d'annihiler l'anonymat sur Internet, utilise les mêmes méthodes que les pirates pour être plus discrète ;).

22. Le lundi, octobre 4 2010, 13:16 par Marmouset

Finalement la fin de l'anonymat sur le web est une bonne chose ^^ On saura qui exclure de nos communications.

Arrivera ensuite une loi interdisant d'exclure des IPs d'un réseau (appelée loi "anti discrimination électronique" pour faire bien). Et la france sera entièrement béante aux DDoS \o/

23. Le lundi, octobre 4 2010, 13:20 par Marmouset

Tiens, ils recherchent un Community Manager chez HADOPI ! Qui veut aller au casse pipe ?

24. Le mardi, octobre 5 2010, 10:41 par Ouistiti

Gné ?

Un Community Manager :D
Ils ont une communauté ?

On parlerai plutôt de porte-parole, nan ?

25. Le mardi, octobre 5 2010, 11:05 par Marmouset

Nan nan, un porte parole "s'trop cher tavu" ! Un community manager, en plus d'être hype c'est aussi moins cher.

26. Le jeudi, novembre 25 2010, 17:13 par guigui

Et pour Mac OS X

ipfw -q add deny src-ip 85.159.236.252/30, 85.159.232.80/30, 82.138.81.211/32, 193.107.240.0/22, 193.105.197.0/24, 90.80.155.240/28, 90.80.155.208/28, 90.80.100.192/28, 80.12.48.0/24, 195.6.180.141/32, 91.189.104.0/20, 82.138.70.128/26, 217.205.84.24/8, 213.186.33.19

27. Le jeudi, novembre 25 2010, 18:15 par Gibbon

Aaaaaaaaaaaaaaaah

Ça fait plaisir de voir une configuration pour pf

À noter que ça devrait aussi fonctionner sur n'importe quel *BSD en théorie.

28. Le lundi, janvier 24 2011, 20:52 par s4t

Sous windows, vous pouvez utiliser le petit logiciel peerblock.

peerblock établie une blacklist d’adresses IP (récupérée sur iblocklist.com) et les bloque automatiquement (blocage P2P ou HTTP au choix).

En fouillant sur le site iblocklist on retrouve les IP précisées en haut du billet

29. Le dimanche, mars 13 2011, 22:02 par Hadware

Gibbon, je veux avoir beaucoup d'amour avec toi. C'est génial. Je diffuse.

30. Le dimanche, mars 13 2011, 22:08 par Hadware

Hum... en fait y'a une couille dans l'potage: quand je balance ça sur mon serveur debian (qui me sert de serveur de DL via Torrentflux), je tombe sur:

hadveur:~# iptables -I FORWARD -p all -s 85.159.236.252/30,85.159.232.80/30,\
> 82.138.81.211/32,193.107.240.0/22,193.105.197.0/24\
> 90.80.155.240/28,90.80.155.208/28,90.80.100.192/28\
> 80.12.48.0/24,195.6.180.141/32 -j DROP
iptables v1.4.2: host/network `85.159.236.252/30,85.159.232.80/30,82.138.81.211/32,193.107.240.0/22,193.105.197.0/2490.80.155.240/28,90.80.155.208/28,90.80.100.192/2880.12.48.0/24,195.6.180.141' not found
Try `iptables -h' or 'iptables --help' for more information.

... Y'a une raison particulière ou il m'aime pas?

Fil des commentaires de ce billet

Appliquer facilement un filtre HADOPI et journaliser ses entrées

Ainsi font, font, font les petits paquets IP

« HADOPI, ça marche ! »

Hé, ho, on est pas cousins !

Commentaires

Ajouter un commentaire

Où est la banane ?

Singeries

Tags

Suivre le bouzin

La cage