Fail2Ban Nỗ lực chính xác để cấm IP nhưng IP không bị cấm - chuỗi iptables tồn tại nhưng không hoạt động

12

Chạy trên máy chủ Ubuntu 14.04.

Vì vậy, tôi đã cấu hình fail2ban chính xác để xử lý /var/log/auth.logcác lần thử đăng nhập SSH.

Sau 3 lần thất bại, tôi thấy điều này trong nhật ký fail2ban:

2014-11-19 15:22:56,822 fail2ban.actions: WARNING [ssh] Ban BANNED_IP_ADDY

iptables -L cho thấy chuỗi này:

Chain fail2ban-ssh (1 references)
target     prot opt source               destination         
REJECT     all  --  BANNED_IP_ADDY  anywhere             reject-with icmp-port-unreachable
RETURN     all  --  anywhere             anywhere

Tuy nhiên, từ IP đó tôi vẫn có thể đăng nhập qua SSH mà không gặp vấn đề gì.

Câu chuyện tương tự áp dụng cho tất cả các nhà tù fail2ban của tôi. Ví dụ như Apache, tôi có thể thấy fail2ban phát hiện chính xác nhật ký và tuyên bố nó cấm IP. IP kết thúc trong một chuỗi iptables nhưng IP không thực sự được DỰ ÁN.

Tôi có cảm giác trong những trường hợp này là vì SSH không có trên cổng tiêu chuẩn. Đó là trên một cổng khác.

Vì vậy, nếu tôi buộc quy tắc tù ssh sử dụng cổng mới:

[ssh]

enabled  = true
port     = 32323
filter   = sshd
logpath  = /var/log/auth.log
maxretry = 5

Sau đó tôi thấy lỗi này:

2014-11-19 15:30:06,775 fail2ban.actions.action: ERROR  iptables -D INPUT -p tcp -m multiport --dports 32323 -j fail2ban-ssh
iptables -F fail2ban-ssh
iptables -X fail2ban-ssh returned 400
2014-11-19 15:30:06,778 fail2ban.actions.action: ERROR  iptables -N fail2ban-ssh
iptables -A fail2ban-ssh -j RETURN
iptables -I INPUT -p tcp -m multiport --dports 32323 -j fail2ban-ssh returned 400
2014-11-19 15:30:06,779 fail2ban.actions.action: ERROR  iptables -n -L INPUT | grep -q 'fail2ban-ssh[ \t]' returned 100
2014-11-19 15:30:06,780 fail2ban.actions.action: CRITICAL Unable to restore environment

Nếu tôi để nó như

 port = ssh

Sau đó, nó được đưa vào iptables đúng cách nhưng chuỗi không hoạt động với REJECTlưu lượng truy cập (như đã đề cập ở trên).

CẬP NHẬT:

Nếu tôi thay đổi:

banaction = iptables-multiport

Đến:

banaction = iptables-allports

Sau đó, nó xuất hiện để làm việc. Tác động của sự thay đổi này là gì?

Có vẻ như việc fail2bancấm IP vì SSH với điều này, allportsnó đã cấm MỌI cổng cho IP đó. Cố ý bị cấm do đăng nhập ssh nhiều lần không thành công. Cũng bị cấm trên mọi dịch vụ khác.

ubuntu  iptables  fail2ban 
Halsafar
nguồn
Ive không bao giờ gặp phải vấn đề đó với fail2ban. Nếu bạn muốn quay lại chặn cổng đơn, bạn có thể thử giải pháp này: oschgan.com/drupal/index.php?q=node/52 . Ngoài ra, fail2ban có thể sử dụng các cơ chế khác như host.deny hoặc null tuyến nếu iptables gây đau buồn.
Digitaladdictions
Kiểm tra /etc/fail2ban/actions.d, nó có một tập tin tương ứng với từng hành động cấm đó. Bên trong bạn sẽ thấy những lệnh nào được sử dụng để cấm, unban, bắt đầu và dừng fail2ban. Bạn có thể thử chạy các lệnh actionban bằng tay và xem điều gì sẽ xảy ra. Tôi
Michael
1
Có gì khác trong iptables của bạn? Vui lòng cung cấp đầu ra đầy đủ iptables -L -n -v(sắp xếp lại địa chỉ IP khi cần thiết). Cụ thể, lưu ý -v, cái sẽ cung cấp bộ đếm byte và gói cho mỗi chuỗi và quy tắc, giúp dễ dàng gỡ lỗi.
jplitza
Tôi cũng có chính xác vấn đề đấy. Fail2Ban cấm IP, tôi có thể thấy địa chỉ trong chuỗi fail2ban, tôi nhận được email bị cấm nhưng địa chỉ ip vẫn có quyền truy cập. Thay đổi lệnh cấm để allports hoạt động nhưng không biết tại sao!
Ergec

Câu trả lời:

2

Chuỗi fail2ban không được liên kết chính xác với chuỗi INPUT và OUTPUT của bạn. Vui lòng chỉnh sửa câu hỏi của bạn và cung cấp đầu ra của:

iptables -n -L INPUT
iptables -n -L OUTPUT

và tất cả các chuỗi fail2ban cũng vậy, và tôi sẽ có thể chính xác hơn.

Marco
nguồn
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.