blacklistd(8) est un outil venu de netbsd qui, à la manière de fail2ban, va mettre sur les listes noires les adresses IP qui tentent de pénétrer vos systèmes.
Les services réseau vont contacter le démon blacklistd pour lui communiquer les coordonnées d'un pénible.
Activez le service dans votre configuration:
blacklistd_enable="YES" blacklistd_flags="-r"
Connectez SSH à blacklisd:
sshd_flags="-o UseBlacklist=yes"
Consultez la liste avec blacklistctl(8):
$ blacklistctl dump
address/ma:port id nfail last access
118.175.7.132/32:22 1/3 2019/05/07 14:10:54
106.13.74.47/32:22 1/3 2019/05/08 03:03:10
190.144.232.122/32:22 1/3 2019/05/08 04:29:35
157.230.103.135/32:22 1/3 2019/05/07 17:41:41
155.94.146.167/32:22 1/3 2019/05/07 13:07:03
59.150.236.245/32:22 1/3 2019/05/08 06:26:35
41.65.67.165/32:22 1/3 2019/05/08 07:26:37
206.189.86.17/32:22 1/3 2019/05/08 10:56:26
Vous trouverez les traces de l'activité de blacklistd dans /var/log/daemon.log.
Blacklistd va enrichir une liste noire gérée par vos pare-feux.
Ajoutez une table destinée à recevoir les IP de blacklistd.
anchor "blacklistd/*" in on $ext_if
Consultez la liste des indésirables avec pfctl(8):
$ pfctl -a blacklistd/22 -t port22 -T show 112.151.228.30 113.228.20.96 120.31.136.32 211.109.96.118 217.77.221.85
ipfw_offset=4000
Consultez le contenu de la table:
$ ipfw table port22 list 123.206.111.227/32 0