fail2ban - защита от брутфорса

[Дмитрий Бо]

а почему не сюда?

https://help.ubuntu.ru/wiki/fail2ban

[CALL|KA]

Доброго времени суток.
Прошу помощи Уважаемых форумчан в настройке fail2ban.

Настраиваю его на ОС debian. Вроде бы все по инструкции сделал. Подключился по ssh, 3 раза ввел неправильный пароль, а потом снова получил предложение ввести пароль. После 3х попыток в логе появилась запись, что ip забанен, а в iptables новое правило. В итоге получается подключиться даже после бана.
Я так понимаю, что проблема в правилах фаерволла?


/etc/fail2ban/jail.local

(Нажмите, чтобы показать/скрыть)

[DEFAULT]
# "ignoreip" can be an IP address, a CIDR mask or a DNS host
#ignoreip = 127.0.0.1/8
bantime  = 86400
maxretry = 3

backend = auto

destemail = root@localhost

protocol = tcp

chain = INPUT

action_ = %(banaction)s[name=%(__name__)s, port="%(port)s", protocol="%(protocol)s", chain="%(chain)s"]

action_mw = %(banaction)s[name=%(__name__)s, port="%(port)s", protocol="%(protocol)s", chain="%(chain)s"]
              %(mta)s-whois[name=%(__name__)s, dest="%(destemail)s", protocol="%(protocol)s", chain="%(chain)s"]

action_mwl = %(banaction)s[name=%(__name__)s, port="%(port)s", protocol="%(protocol)s", chain="%(chain)s"]
               %(mta)s-whois-lines[name=%(__name__)s, dest="%(destemail)s", logpath=%(logpath)s, chain="%(chain)s"]

[ssh]
enabled  = true
port     = ssh
filter   = sshd
logpath  = /var/log/auth.log
findtime    = 3600
maxretry = 3
bantime = 86400
#action   = iptables[name=SSH, port=ssh, protocol=tcp]


[ssh-ddos]

enabled  = true
port     = ssh
filter   = sshd-ddos
logpath  = /var/log/auth.log
maxretry = 3

iptables -L

(Нажмите, чтобы показать/скрыть)

Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
fail2ban-ssh-ddos  tcp  --  anywhere             anywhere             multiport dports ssh
fail2ban-ssh  tcp  --  anywhere             anywhere             multiport dports ssh

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     all  --  10.8.0.0/24          anywhere           
ACCEPT     all  --  anywhere             anywhere             state RELATED,ESTABLISHED

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         

Chain fail2ban-ssh (1 references)
target     prot opt source               destination         
DROP       all  --  VALERA2.lan            anywhere           
RETURN     all  --  anywhere             anywhere           

Chain fail2ban-ssh-ddos (1 references)
target     prot opt source               destination         
RETURN     all  --  anywhere             anywhere   

tail /var/log/fail2ban.log

(Нажмите, чтобы показать/скрыть)

2014-09-04 18:28:25,191 fail2ban.actions: INFO   Set banTime = 86400
2014-09-04 18:28:25,264 fail2ban.jail   : INFO   Creating new jail 'ssh-ddos'
2014-09-04 18:28:25,264 fail2ban.jail   : INFO   Jail 'ssh-ddos' uses Gamin
2014-09-04 18:28:25,266 fail2ban.filter : INFO   Added logfile = /var/log/auth.log
2014-09-04 18:28:25,268 fail2ban.filter : INFO   Set maxRetry = 3
2014-09-04 18:28:25,271 fail2ban.filter : INFO   Set findtime = 600
2014-09-04 18:28:25,272 fail2ban.actions: INFO   Set banTime = 86400
2014-09-04 18:28:25,302 fail2ban.jail   : INFO   Jail 'ssh' started
2014-09-04 18:28:25,307 fail2ban.jail   : INFO   Jail 'ssh-ddos' started
2014-09-04 18:31:32,546 fail2ban.actions: WARNING [ssh] Ban 192.168.1.3

Заранее благодарен.