Fail2Ban Doğru IP Yasaklama Denemesi ancak IP yasaklanmıyor - iptables zinciri var ama çalışmıyor

12

Ubuntu 14.04 Sunucusunda çalışıyor.

Bu yüzden SS2 /var/log/auth.loggiriş denemelerini işlemek için fail2ban'ı doğru yapılandırdım .

3 başarısız denemede bu fail2ban günlüğünde görüyorum:

2014-11-19 15:22:56,822 fail2ban.actions: WARNING [ssh] Ban BANNED_IP_ADDY

iptables -L bu zinciri gösterir:

Chain fail2ban-ssh (1 references)
target     prot opt source               destination         
REJECT     all  --  BANNED_IP_ADDY  anywhere             reject-with icmp-port-unreachable
RETURN     all  --  anywhere             anywhere

Yine de bu IP'den SSH üzerinden herhangi bir sorun olmadan giriş yapabilirim.

Aynı hikaye tüm fail2ban hapislerim için de geçerlidir. Örneğin Apache, fail2ban'ın günlüğü doğru bir şekilde algıladığını ve IP yasakladığını iddia edebildiğini görebiliyorum. IP bir iptables zincirinde sonlanır, ancak IP aslında REDDEDİLMEMEKTEDİR.

Bu durumlarda SSH'nin standart portta olmaması nedeniyle bir his var. Farklı bir limanda.

Eğer ssh hapishane kuralını yeni bağlantı noktasını kullanmaya zorlarsam:

[ssh]

enabled  = true
port     = 32323
filter   = sshd
logpath  = /var/log/auth.log
maxretry = 5

Sonra bu hatayı görüyorum:

2014-11-19 15:30:06,775 fail2ban.actions.action: ERROR  iptables -D INPUT -p tcp -m multiport --dports 32323 -j fail2ban-ssh
iptables -F fail2ban-ssh
iptables -X fail2ban-ssh returned 400
2014-11-19 15:30:06,778 fail2ban.actions.action: ERROR  iptables -N fail2ban-ssh
iptables -A fail2ban-ssh -j RETURN
iptables -I INPUT -p tcp -m multiport --dports 32323 -j fail2ban-ssh returned 400
2014-11-19 15:30:06,779 fail2ban.actions.action: ERROR  iptables -n -L INPUT | grep -q 'fail2ban-ssh[ \t]' returned 100
2014-11-19 15:30:06,780 fail2ban.actions.action: CRITICAL Unable to restore environment

Eğer böyle bırakırsam

 port = ssh

Sonra düzgün iptables içine alır ama zincir REJECT(yukarıda belirtildiği gibi) trafiğe çalışmıyor .

GÜNCELLEME:

Değiştirirsem:

banaction = iptables-multiport

Kime:

banaction = iptables-allports

Sonra işe yarıyor gibi görünüyor. Bu değişikliğin etkileri nelerdir?

fail2banSSH nedeniyle bir IP'nin yasaklanmasına neden olduğu, allportsbu IP için HER bağlantı noktasını yasakladığı görülüyor . Tekrarlanan ssh giriş başarısızlığı nedeniyle bilerek yasaklandı. Ayrıca her hizmet yasaklandı.

ubuntu  iptables  fail2ban 
Halsafar
kaynak
Fave2ban ile bu konuya hiç rastlamadım. Tek bağlantı noktasını engellemeye geri dönmek isterseniz, bu çözümü deneyebilirsiniz: oschgan.com/drupal/index.php?q=node/52 . Alternatif olarak fail2ban, iptables kedere neden oluyorsa hosts.deny veya null yollar gibi diğer mekanizmaları kullanabilir.
digitaladdictions
Kontrol edin /etc/fail2ban/actions.d, bu yasak eylemlerinin her birine karşılık gelen bir dosya var. İçinde fail2ban'ı yasaklamak, banını kaldırmak, başlatmak ve durdurmak için hangi komutların kullanıldığını göreceksiniz. Actionban komutlarını manuel olarak çalıştırmayı deneyebilir ve ne olduğunu görebilirsiniz. I
Michael
1
Iptables'ınızda başka neler var? Lütfen tam çıkışını sağlayın iptables -L -n -v(gerektiğinde IP adreslerinin redaksiyonu). Özellikle, -vher zincir ve kural için bayt ve paket sayaçları verecek ve hata ayıklamayı kolaylaştıracak.
jplitza
Ben de aynı problemi yaşadım. Fail2Ban IP yasaklıyor, fail2ban zincirinde adresi görebiliyorum, yasaklı e-postayı aldım ama IP adresi hala erişime sahip. Allports'ta bandajın değiştirilmesi işe yaradı, ancak neden olduğu konusunda hiçbir fikrim yok!
Ergec

Yanıtlar:

2

Fail2ban zincirleri, INPUT ve OUTPUT zincirlerinize doğru bağlanmamıştır. Lütfen sorunuzu düzenleyin ve çıktısını sağlayın:

iptables -n -L INPUT
iptables -n -L OUTPUT

ve tüm fail2ban zincirleri, ve ben daha kesin olacağım.

Marco
kaynak
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.