fail2ban добавление правила в FORWARD и в INPUT

[Ввысь]

Здравствуйте.
Как нужно поправить конфиги fail2ban, чтоб создавали два правила - INPUT и FORWARD?

Сразу ответ для чего: за компьютером с ubunty есть еще сервисы и IP забаненным в цепочке INPUT ничего не мешает проходить через FORWARD. Решил закрыть эту возможность.

Правил jail.local, строку chain - могу получить либо INPUT либо FORWARD, но обо никак (. Явно дело в conf файлах, но что дописать не могу понять.
Нашел вот это

(Нажмите, чтобы показать/скрыть)

Что то не спится думая о не завершенных ледах... Подправил правила в  fail2ban , теперь так же добавляется в  FORWARD .

 Chain  INPUT (policy ACCEPT 44397 packets, 5008K bytes)
 pkts bytes target     prot opt in     out     source               destination         
  117 22943  fail2ban -APACHE  tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           
  204 41031  fail2ban -ProFTPD  tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           
  291 59135  fail2ban -SSH  tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           
    0     0 REJECT     udp  --  ppp+   *       0.0.0.0/0            0.0.0.0/0           udp dpt:1900 reject-with icmp-port-unreachable
    0     0 REJECT     tcp  --  ppp+   *       0.0.0.0/0            0.0.0.0/0           tcp dpt:1900 reject-with icmp-port-unreachable

 Chain   FORWARD  (policy ACCEPT 484K packets, 273M bytes)
 pkts bytes target     prot opt in     out     source               destination         
  583  117K  fail2ban -APACHE  tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           
  568  113K  fail2ban -ProFTPD  tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           
  576  113K  fail2ban -SSH  tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           
  497 46311 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0           state INVALID
20903 1174K TCPMSS     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp flags:0x06/0x02 TCPMSS clamp to PMTU
 265K  244M MINIUPNPD  all  --  ppp+   !ppp+   0.0.0.0/0            0.0.0.0/0
http://hghltd.yandex.net/yandbtm?fmode=inject&url=http%3A%2F%2Fwww.linux.org.ru%2Fforum%2Fadmin%2F10433033&tld=ru&lang=ru&la=&text=fail2ban%20chain%20forward%20%D0%BA%D0%B0%D0%BA%20%D0%B4%D0%BE%D0%B1%D0%B0%D0%B2%D0%B8%D1%82%D1%8C&l10n=ru&mime=html&sign=3bfa46eee388938c422fd3c99666bb5b&keyno=0

Знаю что проще спросить автора, но это взято из кеша яндекса и все ссылки уже не ссылки.
Спасибо.

[Karl500]

Честно говоря, не могу понять логику. Если сработало правило на INPUT, то "атаковали" Ваш компьютер. Зачем закрывать FORWARD? И наоборот: если атаковали "следующий" компьютер, то правило не сработает, т.к. Ваш компьютер НЕ атаковали, и в логах у него ничего криминального нет и быть не может...

[Ввысь]

Karl500, если честно я немного иначе себе это представляю - атаковали, до свидания, сразу, везде. Какой смысл гадать - атакует ли он дальше? Успел ли он отсканировать другие, доступные порты.

Ситуация - отсканировали порты Ubunty, постучались в 22, INPUT закрылся, но списочек то других, открытых портов(FORWARD) остался )...и никто ничего не знает, т.к. дальше Windows стоит. Сиди и смотри что с портов придет, какой ответ, ну а дальше по ситуации. Nmap хоть и ошибается, но...какой смысл рисковать...

[fisher74]

А я вижу логику. Часть портов шлюз обслуживает сам (INPUT), а часть передаёт портфорвардом на другой сервер(FORWARD). Адрес тот-же, порты разные. Атакующий может даже и не знать, что "испытывает" разные цепочки защиты.

[Karl500]

По поводу полной блокировки хостов: я же говорил, чтобы Вы посмотрели в папке /etc/fail2ban/action.d/ - там есть такой вот вариант: route.conf

По поводу "атаковали - до свидания" - можно, но зачем? fail2ban и так прекрасно справляется. А если, к примеру, Вас атакует по порту 22 какой-нибудь малолетка, прикидываясь IP-шником гугла - Вы сразу же почту от гугла рубить себе собираетесь?

По поводу "часть передает" - прекрасно, только откуда fail2ban вообще узнает о проблемах соседнего хоста? В логах-то ничего нету.

UPD: "Успел ли он отсканировать другие, доступные порты" - если порт недоступен, то и fail2ban об этом ничего не узнает. Вы представляете, как он работает? Он просто отслеживает различные события в логах. Если никто за каким-то портом не следит (т.е. у Вас ничего порт не слушает), то и fail2ban об этом никогда не узнает, что кто-то пытался что-то сканировать...
Пользователь решил продолжить мысль [time]15 Декабрь 2014, 17:11:42[/time]:Что-то у меня по некоторому раздумью над Вашей фразой "никто ничего не знает, т.к. дальше Windows стоит" вопрос возник: а не пытаетесь ли Вы fail2ban'ом заменить обычный файрвол? Если да, то зря совершенно: он для такого не предназначен по причине, уже описанной выше. А предназначен он только для защиты компьютера, на котором сам стоит.

[Ввысь]

В общем заработало. Блокирует и INPUT и FORWARD.

(Нажмите, чтобы показать/скрыть)

Нужно в conf файле (тот который указан в banaction изменить строки)

actionstart = iptables -N fail2ban-<name>
              iptables -A fail2ban-<name> -j RETURN
              iptables -I INPUT -p <protocol> -j fail2ban-<name>
              iptables -I FORWARD -p <protocol> -j fail2ban-<name>

actionstop = iptables -D INPUT -p <protocol> -j fail2ban-<name>
             iptables -D FORWARD -p <protocol> -j fail2ban-<name>
             iptables -F fail2ban-<name>
             iptables -X fail2ban-<name>

Допер не сам(...Стырено отсюда https://www.linux.org.ru/forum/admin/10433033?lastmod=1418725541789#comment-11130894

По поводу полной блокировки хостов: я же говорил, чтобы Вы посмотрели в папке /etc/fail2ban/action.d/ - там есть такой вот вариант: route.conf

Такого файла нет, нашел в сети, не особо понял как он поможет..

А если, к примеру, Вас атакует по порту 22 какой-нибудь малолетка, прикидываясь IP-шником гугла - Вы сразу же почту от гугла рубить себе собираетесь?

Мне кажется это правильным - лучше пусть забанит, чем я буду думать что это гугл развлекается. Открыть не проблема.

По поводу "часть передает" - прекрасно, только откуда fail2ban вообще узнает о проблемах соседнего хоста? В логах-то ничего нету.

Именно поэтому я и хочу их отстреливать заранее. fail2ban просто будет всех кто попытался подобрать пароль блокировать. И соседним точно ничего не будет.

UPD: "Успел ли он отсканировать другие, доступные порты" - если порт недоступен, то и fail2ban об этом ничего не узнает.

Верно, но если открыт 5981 и там висит самописный скрипт который вообще ничего не отвечает на подключение  и 22 который знают все, то шансов что начнут стучать в 5981 в разы меньше.

Что-то у меня по некоторому раздумью над Вашей фразой "никто ничего не знает, т.к. дальше Windows стоит" вопрос возник: а не пытаетесь ли Вы fail2ban'ом заменить обычный файрвол? Если да, то зря совершенно: он для такого не предназначен по причине, уже описанной выше. А предназначен он только для защиты компьютера, на котором сам стоит.

А в чем разница - закрыл на шлюзе или дальше? Ключевое слово ж закрыл)...разве нет?

[Karl500]

как он поможет..

Команда

Код: [Выделить]

ip route add unreachable <ip>гораздо радикальнее, чем блокирование протокола в таблицах INPUT и FORWARD. Да и работает на порядок быстрее, требуя значительно меньше ресурсов.

Что же касается остального: как говорится, хозяин - барин. Не считая того, что (еще раз повторяю) подобная "защита" никоим образом не сработает против атаки, направленной непосредственно на Ваш "Windows", стоящий за обсуждаемым компьютером. Почему - я уже не раз говорил (повторяю только с той целью, чтобы ни у кого, кто будет это читать, не было иллюзий о защищенности подобного "метода").

[Ввысь]

Karl500,

Код: [Выделить]

ip route add unreachable <ip>

Во как оказывается можно)...спасибо, не знал, я хотел того же, но шел другой дорогой.