{"id":2635,"date":"2026-03-30T16:02:02","date_gmt":"2026-03-30T14:02:02","guid":{"rendered":"https:\/\/elearningsamba.com\/index.php\/data-shield-la-blocklist-qui-vire-les-ips-pourries\/"},"modified":"2026-03-30T16:02:02","modified_gmt":"2026-03-30T14:02:02","slug":"data-shield-la-blocklist-qui-vire-les-ips-pourries","status":"publish","type":"page","link":"https:\/\/elearningsamba.com\/index.php\/data-shield-la-blocklist-qui-vire-les-ips-pourries\/","title":{"rendered":"Data-Shield – La blocklist qui vire les IPs pourries"},"content":{"rendered":"

Fail2ban est d’ailleurs hyper r\u00e9actif mais il attend qu’une IP fasse une connerie dans vos logs Apache ou SSH avant de la bloquer. Donc c’est quand m\u00eame un peu tard.. Alors si on pouvait carr\u00e9ment virer le gros du trafic pourri avant m\u00eame qu’il arrive \u00e0 nos services ? Ce serait pas mieux ?<\/p>\n

H\u00e9 bien c’est exactement ce que fait
\nData-Shield IPv4 Blocklist<\/a>
\n, un projet open source qui maintient une liste d’environ 100 000 adresses IP identifi\u00e9es comme malveillantes. Le principe est simple… on colle l’URL RAW de la liste dans la config de son firewall (genre dans les alias d’OPNsense ou les External Block Lists de Fortinet) et hop, tout ce beau monde est filtr\u00e9 au niveau p\u00e9rim\u00e9trique. La liste (un simple fichier texte avec une IP par ligne) est rafra\u00eechie toutes les 6 heures avec une fen\u00eatre de r\u00e9tention de 15 jours, du coup les IPs qui ne sont plus actives finissent par sortir automatiquement.<\/p>\n

C\u00f4t\u00e9 compatibilit\u00e9, c’est plut\u00f4t large : OPNsense, Fortinet, Palo Alto, F5 BIG-IP, Stormshield, Synology NAS, BunkerWeb… donc clairement, la plupart des pare-feu et WAF du march\u00e9 peuvent ing\u00e9rer la liste directement via une URL. Et pour les \u00e9quipements un peu anciens qui ont des limites sur le nombre d’entr\u00e9es, y’a m\u00eame des listes splitt\u00e9es en paquets de 30 000 IPs.<\/p>\n

Le projet est maintenu depuis 2023 par Duggy Tuxy, un CISO qui a visiblement d\u00e9cid\u00e9 que ses week-ends aussi seraient consacr\u00e9s \u00e0 la threat intelligence. Presque d\u00e9j\u00e0 4 000 commits sur le d\u00e9p\u00f4t Git, soit des mises \u00e0 jour quasiment tous les jours. Et c’est impressionnant car le taux de faux positifs affich\u00e9 est de moins de 2 par mois, ce qui franchement, pour une liste de cette taille, est plut\u00f4t fou.<\/p>\n

D’ailleurs, si vous utilisez d\u00e9j\u00e0
\n FireHOL<\/a>
\npour vos listes de blocage, Data-Shield peut tr\u00e8s bien venir en compl\u00e9ment. L’id\u00e9e c’est d’empiler les couches de d\u00e9fense… blocklist p\u00e9rim\u00e9trique au niveau iptables ou nftables en premi\u00e8re ligne, puis
\n CrowdSec<\/a>
\nou Fail2ban pour le trafic qui passe quand m\u00eame. Un d\u00e9fense en profondeur donc !<\/p>\n

Attention par contre, la liste est pens\u00e9e uniquement pour le trafic entrant (WAN vers LAN). L’appliquer en sortie bloquerait vos propres connexions l\u00e9gitimes. Et sauf si votre firewall g\u00e8re le rechargement dynamique, pensez \u00e9galement \u00e0 automatiser le refresh via un cron toutes les 6 heures.<\/p>\n

Et pour assurer une haute disponibilit\u00e9, le projet est distribu\u00e9 sur 5 miroirs : GitHub, GitLab, jsDelivr CDN, BitBucket et Codeberg. Du coup m\u00eame si une source tombe, vos firewalls continuent \u00e0 se mettre \u00e0 jour.<\/p>\n

Bref, si vous cherchez \u00e0 r\u00e9duire le bruit sur vos serveurs sans vous prendre la t\u00eate, allez, c’est gratuit, c’est sous licence GPLv3 et \u00e7a se configure en 2 minutes. Merci \u00e0 Duggy Tuxy pour le tuyau !<\/p>\n","protected":false},"excerpt":{"rendered":"