FireHOL - La protection IP ultime pour votre pare-feu
Vous en avez marre des attaques incessantes qui ciblent votre infrastructure, de toutes ces tentatives de connexion suspectes qui vous donnent des sueurs froides ?
Alors voici FireHOL, une solution de sécurité redoutable qui va transformer votre pare-feu basic en Fort Knox.
FireHOL repose sur un principe simple mais très efficace : la mise en commun des connaissances de la communauté cybersécurité. Des équipes du monde entier surveillent et identifient les adresses IP malveillantes, créant ainsi des listes de blocage (blocklists) régulièrement mises à jour.
Ces listes couvrent un large éventail de menaces telles que les réseaux de botnets actifs, les sources de spam, les attaques par force brute, les scanners de vulnérabilités et bien sûr tout ce qui est proxys malveillants
La mise en place de FireHOL se fait simplement, vous allez voir. Commençons par l’installation de base :
sudo apt-get install firehol
wget
https://raw.githubusercontent.com/firehol/firehol/refs/heads/master/sbin/update-ipsets
chmod +x update-ipsets
Ensuite, activons les listes qui nous intéressent :
./update-ipsets enable dshield spamhaus_drop spamhaus_edrop
./update-ipsets
Vous y trouverez DShield maintenue par le SANS Institute, permettant d’dentifier les 20 sous-réseaux les plus agressifs mais aussi Spamhaus DROP qui est une référence absolue pour bloquer les réseaux détournés par des cybercriminels et bien sûr Abuse.ch qui reste encore et toujours une excellente source pour les botnets et malwares connus.
Il y a aussi :
- OpenBL : Traque les attaques par force brute
- Blocklist.de : Agrège les rapports d’abus de milliers de serveurs
- Emerging Threats : Identifie les menaces émergentes
Voici un exemple de configuration FireHOL qui utilise ces listes :
cat << EOF > /etc/firehol/firehol.confwan="eth0"
ipset4 create whitelist hash:net
ipset4 add whitelist 192.168.0.0/16
for x in dshield spamhaus_drop spamhaus_edropdo ipset4 create \${x} hash:net ipset4 addfile \${x} ipsets/\${x}.netset blacklist4 full inface "\${wan}" log "BLACKLIST \${x^^}" ipset:\${x} \ except src ipset:whitelistdoneEOF
Pour maintenir votre protection à jour, ajoutez le script à votre crontab :
crontab -e
*/12 * * * * /chemin/vers/update-ipsets >/dev/null 2>&1
Commençons par un point crucial : la whitelist stratégique. C’est la base d’une bonne configuration. Vous devez absolument créer une liste blanche de vos IP de confiance. Je parle de vos propres IP, mais aussi celles de vos partenaires commerciaux et de vos services cloud.
La surveillance des logs est absolument cruciale et vous devez analyser régulièrement vos journaux de blocage pour repérer les anomalies et identifier les potentiels faux positifs. Concernant l’optimisation des performances, j’ai un tips pour vous : limitez le nombre de listes actives et utilisez des ipsets de type hash:net. C’est beaucoup plus efficace et ça consomme moins de ressources. D’ailleurs, en parlant de ressources système, attention à ne pas vous laisser emporter : plus vous activez de listes, plus votre serveur va suer. C’est mathématique !
Les ipsets, c’est vraiment la rolls des solutions de filtrage. Pourquoi ? Et bien parce que ça offre une recherche ultra-rapide grâce au hachage (on parle de O(1) pour les nerds), une flexibilité de ouf avec la mise à jour dynamique sans avoir à tout recharger, et une scalabilité qui déchire puisque vous pouvez gérer des millions d’entrées sans sourciller.
Pour les plus motivés d’entre vous, vous pouvez aussi pousser le vice encore plus loin avec des fonctionnalités avancées comme le GeoIP blocking pour bloquer certains pays (désolé les copains), le rate limiting pour éviter de se faire spammer, et le filtrage au niveau applicatif pour être encore plus précis dans votre protection. N’oubliez pas non plus de faire le ménage régulièrement dans vos listes car certaines deviennent obsolètes plus vite qu’un gouvernement français, donc vérifiez régulièrement leur pertinence.
Voilà les amis ! Avec tout ça, vous avez de quoi mettre en place une protection béton ! Pour explorer toutes les possibilités et consulter les statistiques détaillées des listes de blocage, visitez https://iplists.firehol.org/
Merci à Lorenper pour cette superbe découverte !

Entièrement dédiée à la cybersécurité, l'école Guardia est accessible soit directement après le bac (post-bac), soit après un bac+2 ou bac+3. En rejoignant l'école Guardia, vous deviendrez développeur informatique option cybersécurité (Bac+3) ou expert en cybersécurité (Bac+5).