Форум русскоязычного сообщества Ubuntu


Получить помощь и пообщаться с другими пользователями Ubuntu можно
на irc канале #ubuntu-ru в сети Freenode
и в Jabber конференции ubuntu@conference.jabber.ru

Автор Тема: fail2ban - создание правил  (Прочитано 953 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн Ввысь

  • Автор темы
  • Активист
  • *
  • Сообщений: 473
    • Просмотр профиля
fail2ban - создание правил
« : 12 Декабря 2014, 19:48:19 »
Здравствуйте.
Подскажите, стоит fail2ban, правила создаются, все хорошо, НО fail2ban создает правила только для 22 порта,

-A INPUT -p tcp -m multiport --dports 22 -j fail2ban-ssh

 а как заставить его создавать такое же правило но без --dport 22 и -p tcp?
Т.е. попался на попытках подобрать пароль на 22 порту - иди лесом.

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28358
    • Просмотр профиля
Re: fail2ban - создание правил
« Ответ #1 : 12 Декабря 2014, 21:03:47 »
Вы сами себе противоречите.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13756
    • Просмотр профиля
Re: fail2ban - создание правил
« Ответ #2 : 12 Декабря 2014, 21:07:21 »
я так понял, что в интерфейсе fail2ban он не указывает ssh, а в netfilter попадает правило заточенное на ssh.
Правда я fail2ban ни когда не юзал, потому только предположения.

Оффлайн Ввысь

  • Автор темы
  • Активист
  • *
  • Сообщений: 473
    • Просмотр профиля
Re: fail2ban - создание правил
« Ответ #3 : 12 Декабря 2014, 21:09:35 »
AnrDaemon, наверно сформулировал неверно.

Как есть сейчас: fail2ban обнаружил в логах попытки подбора пароля на 22 порт, и создал правило -A INPUT -p tcp -m multiport --dports 22 -j fail2ban-ssh.
Хочу чтоб было так: fail2ban обнаружил в логах попытки подбора пароля с xxx.xxx.xxx.xxx на 22 порт, и создал правило -A INPUT -s xxx.xxx.xxx.xxx -j DROP

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13756
    • Просмотр профиля
Re: fail2ban - создание правил
« Ответ #4 : 12 Декабря 2014, 22:05:03 »
так он наверное в цепочку fail2ban-ssh добавил тот самый ххх.ххх.ххх.ххх

Оффлайн Ввысь

  • Автор темы
  • Активист
  • *
  • Сообщений: 473
    • Просмотр профиля
Re: fail2ban - создание правил
« Ответ #5 : 12 Декабря 2014, 22:37:42 »
fisher74, да,xxx.xxx.xxx.xxx он добавил, но порт то 22. И -p tcp, а как получить из срабатывания fail2ban полноценную блокировку IP? Все порты, все протоколы. Где формируется само правило в fail2ban? Можно ли его изменить?


Оффлайн Karl500

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 2267
    • Просмотр профиля
Re: fail2ban - создание правил
« Ответ #6 : 12 Декабря 2014, 22:41:41 »
Уточню. Т.е. Вы хотите банить виновника не только по порту 22, а вообще? Тогда это называется iptables-allports. В нужном jail напишите

banaction = iptables-allports

вместо

banaction = iptables-multiport

UPD: смотрите в директории /etc/fail2ban/action.d/
« Последнее редактирование: 12 Декабря 2014, 22:47:54 от Karl500 »

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13756
    • Просмотр профиля
Re: fail2ban - создание правил
« Ответ #7 : 12 Декабря 2014, 22:41:58 »
Я уже писал, что fail2ban не юзал никогда, потому не знаю его возможностей и/или команд/настроек. Вообще не представляю как ОНО выглядит.
Смотрите, если там есть настройка парноидальности, то скорее всего есть и полная дискредитация адреса.

Оффлайн Ввысь

  • Автор темы
  • Активист
  • *
  • Сообщений: 473
    • Просмотр профиля
Re: fail2ban - создание правил
« Ответ #8 : 13 Декабря 2014, 11:21:57 »
Karl500, да, оно, спасибо большое)...
upd. проверил, работает )...

« Последнее редактирование: 13 Декабря 2014, 22:44:22 от Ввысь »

 

Страница сгенерирована за 0.062 секунд. Запросов: 25.