• Agrégation de listes d'adresses IP malveillantes scindée en fichiers de 131 072 entrées au maximum pour être intégrées dans des pare-feux : Fortinet FortiGate, Palo Alto, pfSense, OPNsense, IPtables ...
• Adresses IP malveillantes de type phishing, malware et C2 (Command & Control) donc à bloquer UNIQUEMENT en sortie : dans le sens LAN > WAN (pour les IP malveillantes en entrée c'est ici)
• Adresses IP ordonnées en fonction du nombre de listes dans lesquelles elles apparaissent (IP malveillantes apparaissant dans le plus de listes sont donc dans le premier fichier full-aa.txt)
• Mise à jour toutes les heures ⏱️

Fichiers à utiliser (liens dans la partie "Links" ci-dessous) :

• full-outgoing-ip-aa.txt : 131 072 adresses IP les plus malveillantes
• full-outgoing-ip-aX.txt : autres adresses IP malveillantes
• full-outgoing-ip-40k.txt : 40 000 adresses IP les plus malveillantes

• Aggregation of lists of malicious IP addresses split into files of a maximum of 131,072 entries to be integrated into firewalls: Fortinet FortiGate, Palo Alto, pfSense, OPNsense, IPtables ...
• Malicious IP addresses such as phishing, malware and C2 (Command & Control), therefore ONLY to be blocked in the LAN > WAN direction (for malicious ingoing IP it is here)
• Adresses IP classées selon le nombre de listes dans lesquelles elles apparaissent (malicious IPs appearing most frequently first and therefore at the beginning of the full-aa.txt file)
• Updated every hour ⏱️

Files to use (links in the "Links" section below):

• full-outgoing-ip-aa.txt: 131,072 most malicious IP addresses
• full-outgoing-ip-aX.txt: other malicious IP addresses
• full-outgoing-ip-40k.txt: 40,000 most malicious IP addresses

Comment intégrer ces listes dans un pare-feu ?

• FortiGate
  • Menu "Security Fabric → External Connectors → Create New → IP Address"
  • Prendre une URL dans la partie "Links" ci-dessous
  • Après, les listes peuvent être utilisées dans les "Firewall Policy" avec les objets "IP Address Threat Feed"
  • Implémentation de la liste full validée même sur le plus petit boitier FortiGate 40F
  • Plus d'informations : le tutorial vidéo d'un expert sécurité Fortinet et sur cette page de l'aide Fortinet
• Palo Alto : lien. Modèle PA-3200 et supérieurs limités à 150k IP (utilisez uniquement full-aa.txt), modèles inférieurs limités à 50k IP (utilisez le fichier full-40k.txt)
• Check Point : lien
• Sophos : lien.
• pfSense : via le package pfBlocker-NG. Il faut aussi augmenter le nombre maximum d'entrées : voir ici.
• OPNsense : via API (doc). Modifier le nombre maximal d'entrées d'un alias : "Firewall -> Settings -> Advanced -> Firewall Maximum Table Entries".
• IPTables avec le paquet "ipset" : tutorial 1 tutorial 2

How to integrate these lists into a firewall?

• FortiGate
  • Menu "Security Fabric → External Connectors → Create New → IP Address"
  • Take a URL in the "Links" section below
  • Then, the lists can be used in "Firewall Policy" as "IP Address Threat Feed" objects.
  • Implementation of the full list validated even on the smallest FortiGate 40F appliance
  • More information: the video tutorial from a Fortinet security expert and on this page Fortinet help page
• Palo Alto: here. PA-3200 model and above limited to 150k IP (use full-aa.txt only), lower models limited to 50k IP (use full-40k.txt file)
• Check Point : link
• Sophos : lien.
• pfSense: via the package pfBlocker-NG. The maximum number of entries must be increased: see here.
• OPNsense: via API (doc). Change the maximum number of entries for an alias: "Firewall -> Settings -> Advanced -> Firewall Maximum Table Entries".
• IPTables with the "ipset" package: tutorial 1 tutorial 2

Full aggregation files:

https://raw.githubusercontent.com/romainmarcoux/malicious-outgoing-ip/main/full-outgoing-ip-aa.txt

https://raw.githubusercontent.com/romainmarcoux/malicious-outgoing-ip/main/full-outgoing-ip-ab.txt

File of the 40,000 most malicious IPs:

https://raw.githubusercontent.com/romainmarcoux/malicious-outgoing-ip/main/full-outgoing-ip-40k.txt

• 2025-02-25: New source: malwarebytes
• 2024-08-21: New sources: alienvault-precisionsec, cybercrime-tracker.net, digitalside.it, drb-ra, ut1-fr, viriback.com
• 2024-07-17: New source: inquest.net
• 2024-07-11: New source: urlhaus.abuse.ch
• 2024-07-08: Initial release with first sources: abuse.ch, cert.ssi.gouv.fr, cybercure.ai, mattyroberts.io, sicehice.com, threatview.io and urlabuse.com

Je suis expert freelance en cybersécurité, notamment sur les pare-feux.

Je maintiens ce projet depuis 2023 pour aider la communauté à se protéger contre les cybermenaces.

N'hésitez pas à me consulter pour vos besoins d'expertise pare-feux (audit, intégration, migration, problématiques ...) : voir contact ci-dessous.

I am a freelance cybersecurity expert, particularly on firewalls.

I have been maintaining this project since 2023 to help the community protect itself against cyber threats.

Do not hesitate to consult me for your firewall expertise needs (audit, integration, migration, issues, etc.): see contact below.

Contactez-moi via LinkedIn (mon profil) pour :

• m'indiquer des faux positifs
• me proposer d'ajouter une autre source d'adresses IP malveillantes (voir section "Sources" ci-dessus)
• me solliciter pour vos besoins d'expertise pare-feux (audit, intégration, migration, problématiques ...)
• me remercier et m'encourager pour le maintien de ce projet 😉

Contact me via LinkedIn (my profile) to:

• notify me false positives
• suggest I add another source of malicious IP addresses (see "Sources" section above)
• to consult me for your firewall expertise needs (audit, integration, migration, issues, etc.)
• thank me and encourage me for maintaining this project 😉