Fail2ban не блокирует IP - PullRequest
Новая
       10

Fail2ban не блокирует IP

0 голосов
/ 01 мая 2018

Я установил Fail2ban и пытаюсь заставить его блокировать IP-адреса. Согласно журналам, он обнаруживает сканирование SSH и добавляет IP-адреса в список запретов, но я все еще могу войти по SSH с тестового IP в Интернете, который находится в списке запрещенных.

OS = openSUSE Leap 42.2

Fail2ban v0.10.3

jail.local: 

[DEFAULT]
ignoreip = 127.0.0.1/8 192.168.1.0/24

ignorecommand =
bantime  = 1d
findtime  = 600
maxretry = 3

[ssh-iptables]
enabled  = true
filter   = sshd
action   = iptables[name=SSH, port=ssh, protocol=tcp]
abuseipdb[abuseipdb_apikey="my_key", abuseipdb_category="18,22"]
logpath  = /var/log/messages
maxretry = 3

IP-адрес поднят и говорит, что он уже забанен? Файл fail2ban.log: 

2018-05-01 15:21:59,207 fail2ban.filter         [20450]: INFO    [ssh-iptables] Found x.x.x.x - 2018-05-01 15:21:59
2018-05-01 15:22:02,315 fail2ban.filter         [20450]: INFO    [ssh-iptables] Found x.x.x.x - 2018-05-01 15:22:02
2018-05-01 15:22:02,324 fail2ban.filter         [20450]: INFO    [ssh-iptables] Found x.x.x.x - 2018-05-01 15:22:02
2018-05-01 15:22:02,364 fail2ban.actions        [20450]: NOTICE  [ssh-iptables] x.x.x.x already banned

Состояние статуса fail2ban-client ssh-iptables 

Status for the jail: ssh-iptables
|- Filter
|  |- Currently failed: 1
|  |- Total failed:     51
|  `- File list:        /var/log/messages
    `- Actions
|- Currently banned: 47
|- Total banned:     437

Вывод IP-таблиц: 

Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
f2b-SSH    tcp  --  anywhere             anywhere             tcp dpt:ssh

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         

Chain f2b-SSH (1 references)
target     prot opt source               destination

Кроме этого, в AbuseIPDB ничего не отправляется. Любые иды, что мне не хватает?

Я прочитал несколько форумов, но, похоже, не смог заставить его работать.

Ответы [ 2 ]

0 голосов
/ 14 июня 2018

Сначала убедитесь, что fail2ban в версии v0.10.0, чтобы узнать это, введите: 

fail2ban-client -V

Функция отчетов для https://www.abuseipdb.com доступна только в этом выпуске.

Если у вас есть предыдущая версия, вы должны сделать следующее: 

sudo nano /etc/fail2ban/action.d/abuseipdb.conf

Вставьте содержимое ссылки https://github.com/fail2ban/fail2ban/blob/0.11/config/action.d/abuseipdb.conf в файл и сохраните его.

Затем откройте /etc/fail2ban/jail.local и вставьте перед строкой, содержащей action =% (action_) s следующее содержимое: 

# Report ban via abuseipdb.com.
#
# See action.d / abuseipdb.conf for usage example and details.
#
action_abuseipdb = abuseipdb

Затем добавьте следующее содержимое в тюрьму, соответствующее сервису, о котором вы хотите сообщить (здесь в качестве примера я использовал жестокую силу ssh): 

 # Ban IP and report to AbuseIPDB for SSH Brute-Forcing
action =% (action_) s
         % (action_abuseipdb) s [abuseipdb_apikey = "my-api-key", abuseipdb_category = "18,22"]

Заполните «my-api-key» вашим ключом, созданным на сайте abuseipdb , а затем 

fail2ban-client reload

Если у вас есть какие-либо сомнения, ссылка здесь:

https://www.abuseipdb.com/fail2ban.html

0 голосов
/ 01 мая 2018

удалось заставить его работать. Перезапуск fail2ban устранил проблему блокировки. Как ни странно, я сделал перезагрузку fail2ban-client, которая не помогла. Пришлось убить и перезапустить сервис.

Abuseipdb было исправлено путем изменения файла jail.local 

action   = iptables[name=SSH, port=ssh, protocol=tcp]
           abuseipdb[abuseipdb_category="18,22"]
...