La Fibre
Hébergeurs et opérateurs pro / entreprises => Hébergeurs et opérateurs pro / entreprises => 
Autres hébergeurs / opérateurs pro => Discussion démarrée par: PeGGaaSuSS le 27 janvier 2025 à 10:14:04
-
Hello,
Actuellement à Tbilissi, j'ai découvert quelque chose que je n'avais jamais vu, un géoblocage inversé.
C'est à dire que je ne peux pas accéder a certains sites français parce que je suis en Géorgie (le VPN d'Opéra permet de bypasser).
C'est différent d'un firewall comme en Turquie ou en Chine puisque c'est bien le serveur qui m’empêche l'accès.
Différent aussi des DNS-menteurs des interdictions judiciaire.
Ca ressemble aux blocages RGPD de certains sites américains mais ça n'est pas clair puisqu'il y a juste un message d'erreur et pas un htaccess qui dirait clairement quelquechose.
Hardware.fr me fait un time-out, TF1.fr donne ça :
Access Denied
You don't have permission to access "http://www.tf1.fr/" on this server.
Reference #18.ad7a655f.1737969177.416661
https://errors.edgesuite.net/18.ad7a655f.1737969177.416661
Des idées ?
-
Des idées de quoi ? C'est très courant
-
Bah du pourquoi ? Pour moi ça n'a rien de courant, c'est quoi la logique ?
-
Plein de raisons, généralement mauvaises. Dans le cas de TF1, je dirais que c'est simplement une question de droits de diffusion
-
Comme déjà dit ce n’est pas rare, j’ai déjà eu le cas avec le site de l’URSSAF ou Ameli Pro ou le site impots.gouv.fr (je ne sais plus lequel des 3). Souvent aussi pour bloquer des connexions depuis des pays soit ennemis/hostiles soit qui n’ont pas vocation à être intéressés par ces sites.
-
Hello,
Actuellement à Tbilissi, j'ai découvert quelque chose que je n'avais jamais vu, un géoblocage inversé.
C'est à dire que je ne peux pas accéder a certains sites français parce que je suis en Géorgie (le VPN d'Opéra permet de bypasser).
C'est différent d'un firewall comme en Turquie ou en Chine puisque c'est bien le serveur qui m’empêche l'accès.
Différent aussi des DNS-menteurs des interdictions judiciaire.
Ca ressemble aux blocages RGPD de certains sites américains mais ça n'est pas clair puisqu'il y a juste un message d'erreur et pas un htaccess qui dirait clairement quelquechose.
Hardware.fr me fait un time-out, TF1.fr donne ça :
Des idées ?
ca a toujours existé, ça existe depuis toujours (enfin non, mais bien quinze ans oui)
la plupart des sites des grandes chaines francaises refusent l'accès aux flux streaming/replay aux IP non francaises
beaucoup de sites commerciaux font pareil, france/europe vs reste du monde
il y a quelques années OVH avait racheté un bloc d'ip, attribué à ses abonnés ADSL, ils ont mis des mois à obtenir l'actualisation de leur géolocalisation. Résultat, les abonnés ovh étaient vus comme IP venant de l'étranger et ne pouvaient plus regarder de chaines de télé
énormément de sites commerciaux bloquent des vpn.. leboncoin pendant un moment (et sans doute encore aujourd'hui) bloque officieusement tout message envoyé d'une ip hors de france. Et c'est loin d'être les seuls exemples (l'internet classique, unique et commun a tous a disparu à la fin des années 2000, aujourd'hui l'internet est en biface un peu de partout)
il faut savoir qu'un site internet a visiblement droit de prendre de telles mesures.. certains sites du gouv sont inaccessibles à partir de certaines plages IP etc.
il y a également les FAI qui bloquent par DNS sur demande judiciaire. L'internet mondial est très loin de ressembler à ce à quoi il avait été lancé pour, comme un simple réseau sans restriction en interne d'un lycée.
-
J'avais un client avec un site e-commerce, 1 ou 2 fois par an il se prenait un ddos d'ip exotiques, surtout de l'est ou d'asie, bah il a finit par bloquer et n'accepter que les ip de pays dans lesquels il peut livrer, en gros la france et quelques pays autour. Et basta plus d'emmerdes.
-
Nouvel exemple, EDF...
Désolé mais non ce n'est pas "courant" ; dans le sens ou j'ai jamais vu ça alors que je suis quand même assez souvent à l'étranger.
Je ne cherche pas à mater Netflix avec un compte d'un autre pays partager par 1000 personnes, juste à faire de l'HTTP sur des sites lambda.
Et la logique DDoS je la comprends pas, vu que le serveur me réponds pour me bloquer je ne voit pas ce qui empêche de le bombarder de requêtes.
Sans parler du fait que ça fait belle lurette que tu dois pouvoir acheter des milliers de clients vérolés, situés n'importe ou dans le monde et ce pour le prix d'un paquet de chips (coucou les imprimantes, et maintenant les interphones et autres joyeusetés connectées).
-
Je suis d'accord que c'est vraiment relou ces configurations.
Access Denied
You don't have permission to access "http://www.tf1.fr/" on this server.
Reference #18.ad7a655f.1737969177.416661
https://errors.edgesuite.net/18.ad7a655f.1737969177.416661
Cet outil Edgesuite, qui est utilisé par de nombreux sites, semble particulièrement mal foutu. Je reçois souvent ces messages d'erreur sur le WiFi TGV inOui (mais par contre, connecté à un VPN au Costa Rica, aucun souci). ::)
-
Ca fonctionne sur des bases de données de géolocalisation qui associent adresse IP avec pays ou ville.
Bien souvent, ces bases ne sont soit pas à jour, soit simplment fausses.
Avec le marché de transfert des blocks IPv4, faire de la geoloc en fonction de l'adresse IP ne va pas bien fonctionner... mais de nombreux services le déploient, c'est un fait.
-
Désolé mais non ce n'est pas "courant"
Donc on raconte de la merde ? Sympa
-
Bah du pourquoi ? Pour moi ça n'a rien de courant, c'est quoi la logique ?
depuis 2020 c'est presque 1 site commercial sur 2 qui fait ca en france.
à l'étranger ils ont les leurs aussi : essayez d'accéder au whirlpool australien (équivalent d'hfr en france) à partir d'une ip vpnisée : le site est complètement bloqué, et ils assument, et c'est pas que depuis hier, et ils sont loin d'être les premiers.
Nouvel exemple, EDF...
Désolé mais non ce n'est pas "courant" ; dans le sens ou j'ai jamais vu ça alors que je suis quand même assez souvent à l'étranger.
Je ne cherche pas à mater Netflix avec un compte d'un autre pays partager par 1000 personnes, juste à faire de l'HTTP sur des sites lambda.
Et la logique DDoS je la comprends pas, vu que le serveur me réponds pour me bloquer je ne voit pas ce qui empêche de le bombarder de requêtes.
Sans parler du fait que ça fait belle lurette que tu dois pouvoir acheter des milliers de clients vérolés, situés n'importe ou dans le monde et ce pour le prix d'un paquet de chips (coucou les imprimantes, et maintenant les interphones et autres joyeusetés connectées).
vous seriez pas derrière un fai FFDN, comme FDN par hasard?
ça fait plusieurs années qu'ils se battent avec un gros nombre de sites commerciaux français pour faire débloquer leurs sites :
https://www.fdn.fr/the-fdn-and-gitoyen-networks-are-blocked-by-amazon-web-services-aws-youtube-and-engie-and-no-one-knows-why/
Donc on raconte de la merde ? Sympa
(https://forum-images.hardware.fr/images/perso/8/john_tgv.gif)
-
Nouvel exemple, EDF...
Désolé mais non ce n'est pas "courant" ; dans le sens ou j'ai jamais vu ça alors que je suis quand même assez souvent à l'étranger.
Ah mais même en France c'est reproductible, t'inquiète pas :)
Je peux témoigner également côté FAI où nos plages se font injustement bloquer même par les impôts, ,l'assurance maladie et tout le bordel.
On redirige nos usagers (qui sont des citoyens français comme les autres) soit vers France-Services (qui eux aussi sont derrière une connexion Orne héhé), soit on fait des attestations car les gens peuvent pas exercer leurs droits/devoirs pour remettre la charge sur le service public concerné... et finalement en gueulant un peu, avec un bon appui politique, ça se débloque magiquement :)
Donc ouaip, dès que tu as une IP qui n'est pas d'une plage IP d'un BOFS, tu pues.
-
à l'étranger ils ont les leurs aussi : essayez d'accéder au whirlpool australien (équivalent d'hfr en france) à partir d'une ip vpnisée : le site est complètement bloqué, et ils assument, et c'est pas que depuis hier, et ils sont loin d'être les premiers.
Alors de manière générale, les blocs d'IP VPN sont souvient bien plus souvent bloqués que les blocs résidentiels, et ce peu importe la géoloc. Tout simplement parce que les VPN commerciaux, tout comme tor, attirent les acteurs mal intentionnés.
-
Ah mais même en France c'est reproductible, t'inquiète pas :)
Je peux témoigner également côté FAI où nos plages se font injustement bloquer même par les impôts, ,l'assurance maladie et tout le bordel.
On redirige nos usagers (qui sont des citoyens français comme les autres) soit vers France-Services (qui eux aussi sont derrière une connexion Orne héhé), soit on fait des attestations car les gens peuvent pas exercer leurs droits/devoirs pour remettre la charge sur le service public concerné... et finalement en gueulant un peu, avec un bon appui politique, ça se débloque magiquement :)
Donc ouaip, dès que tu as une IP qui n'est pas d'une plage IP d'un BOFS, tu pues.
réseau ip gitoyen? ou situation similaire? :D
-
réseau ip gitoyen? ou situation similaire? :D
Non, notre réseau.
Aussi, j'ajoute que de plus en plus de WAF (firewall d'application web, typiquement ce qu'on voit sur EDF) vérifie _aussi_ la réputation de l'IP.
Donc même IP française, si l'IP a servi à faire de la merde, ça pourrait bloquer l'accès.
-
... et finalement en gueulant un peu, avec un bon appui politique, ça se débloque magiquement :)
Je pense que tu viens de dire une bêtise, ta boutique est visiblement surtout attaquée sur le plan politique, ou je ne comprends rien à rien.
-
Salut à tous.
Si j'ai tout bien compris, les entreprises se protègent contre des attaques en identifiant soit la réputation de l'adresse IP, ou sa géolocalisation.
Si l'on passe par un VPN dont le serveur se situe en France, est-ce que cela va résoudre le problème d'accès ou pas ?
Ce qui arrive à PeGGaaSuSS est tout à fait normal, puisqu'il essaye d'atteindre un site localisé en France.
-
Si l'on passe par un VPN dont le serveur se situe en France, est-ce que cela va résoudre le problème d'accès ou pas ?
Si l'IP a une bonne réputation (ie : pas flag comme VPN), oui.
Sinon, probablement pas
-
Donc on raconte de la merde ? Sympa
Rah tout de suite ;D
C'est pas ce que je voulais dire, mais dans le même tant le mode "circulez, il n'y a rien à voir" n'est pas ultra constructif non plus.
Ah mais même en France c'est reproductible, t'inquiète pas :)
Je peux témoigner également côté FAI où nos plages se font injustement bloquer même par les impôts, ,l'assurance maladie et tout le bordel.
On redirige nos usagers (qui sont des citoyens français comme les autres) soit vers France-Services (qui eux aussi sont derrière une connexion Orne héhé), soit on fait des attestations car les gens peuvent pas exercer leurs droits/devoirs pour remettre la charge sur le service public concerné... et finalement en gueulant un peu, avec un bon appui politique, ça se débloque magiquement :)
Donc ouaip, dès que tu as une IP qui n'est pas d'une plage IP d'un BOFS, tu pues.
Justement quand quelqu'un l'a mentionner j'ai tester impots.gouv.fr, sans aucun soucis ???
Si ce problème touche un FAI en France, sans même parler de citoyens français (coucou) à l'étranger ou pas, c'est pas un sujet pour l'ARCEP ?
Quelque part c'est même une question de neutralité du net. C'est clairement plus un sujet pour cette agence que de savoir qu'une box consomme 5, 10 ou 500 watts...
-
La neutralité concerne le réseau. C'est bien de la responsabilité et de la décision du fournisseur de services (ici, un service public, mais peu importe) d'autoriser ou de limiter l'accès à un service à partir de tel ou tel réseau ou pays. Donc à priori, l'ARCEP n'a pas son mot à dire et le règlement sur la neutralité ne s'applique pas.
Forcément, pour un service public, on peut penser qu'il y ait un objectif de faire en sorte que les citoyens puissent accéder au service. Donc les site des impots, améli ou autre doivent être joignables depuis le réseau d'Opix, mais tu vois bien que ce n'est pas forcément le cas, et qu'il faut qu'il rale.
Ensuite, pour des petites équipes en tout cas, il faut aussi voir que c'est une solution pragmatique pour améliorer sa posture de sécurité.
Quand je regarde mes logs http, j'ai plus de requêtes qui tentent de rechercher des exploits (bonjour wordpress, jupyter, mysqladmin entre autres, mais shellshock et autres sont très courants).
Mes clients accèdent majoritairement aux services que j'héberge depuis les mêmes adresses IP (leurs bureaux, notamment, mais pas que) et *jamais* depuis les US, la chine ou l'inde, qui semblent être les endroits qui font le plus de requêtes "malicieuses", d'après mes logs. Pourquoi ne pas les filtrer, et ouvrir au besoin ? My network, my rules.
Encore une fois, c'est un peu différent pour un service public qui a besoin d'être accessible par ses citoyens (et qui a plus de moyens qu'une TPE, aussi), mais force est de constater qu'ils pensent que ca vaut le coup de le faire. Ou alors, ils veulent juste avoir la croix cochée sur leur audit de sécu...
Le lien avec (l'excellent, d'ailleurs) travail de l'ARCEP sur la conso des équipements est totalement HS. Rien à voir.
-
J'ai du mal a voir comment une quelconque agence pourrait intervenir sur les ip que tu bloques que ton site, que ton site soit un site public ou pas.
Deja que l'attribution d'un "pays" sur une ip est quelque chose d'arbitraire...
-
J'ai du mal a voir comment une quelconque agence pourrait intervenir sur les ip que tu bloques que ton site, que ton site soit un site public ou pas.
Tu peux avoir des contraintes légales, contractuelles ou les deux (c'est par exemple la raison pour laquelle le contenu de TF1 n'est disponible qu'en France).
Mais si tu bloques arbitrairement de ton côté, en effet, c'est toi qui décide et tu es libre de le faire.
Deja que l'attribution d'un "pays" sur une ip est quelque chose d'arbitraire...
Oui, là, on est d'accord.