fail2ban не дружит с vsftpd и браузерами.

[k790]

Если зайти на FTP через браузер, то сначала выполняется подключение анонимом (они запрещены, по этому ошибка), а потом запрашивает логин и пароль. При заходе в папки, сначала аноним, а только потом введённый пользователь (пользователь запрашивается 1 раз).

Из-за этого анонима, fail2ban блокирует IP, куда копать?

cat /etc/vsftpd.conf

Код: [Выделить]

pasv_enable=YES
dual_log_enable=YES
listen=YES
anonymous_enable=NO
local_enable=YES
write_enable=YES
dirmessage_enable=YES
use_localtime=YES
xferlog_enable=YES
connect_from_port_20=YES
secure_chroot_dir=/var/run/vsftpd/empty
pam_service_name=vsftpd
rsa_cert_file=/etc/ssl/private/vsftpd.pem
pasv_min_port=2000
pasv_max_port=2500

cat /etc/fail2ban/jail.local

Код: [Выделить]

[DEFAULT]
findtime    = 3600
maxretry    = 6
bantime     = 864000
destemail = xxx@yandex.ru

[ssh]
findtime    = 3600
maxretry    = 6
bantime     = 864000
logpath  = /var/log/auth.log

[ssh-ddos]
enabled = true
port    = ssh
filter  = sshd-ddos
logpath  = /var/log/auth.log
maxretry = 6

[vsftpd]
enabled  = true
port     = ftp,ftp-data,ftps,ftps-data
filter   = vsftpd
logpath  = /var/log/vsftpd.log
findtime    = 3600
maxretry    = 6
bantime     = 864000

[postfix]
enabled  = false
ignoreip = 127.0.0.1/8   # suggest listing your valid server IP ranges here
port     = smtp,ssmtp
filter   = couriersmtp
logpath  = /var/log/mail.log

cat /etc/fail2ban/filter.d/vsftpd.conf

Код: [Выделить]

[Definition]
failregex = vsftpd(?:\(pam_unix\))?(?:\[\d+\])?:.* authentication failure; .* rhost=<HOST>(?:\s
+user=\S*)?\s*$
            \[.+\] FAIL LOGIN: Client "<HOST>"\s*$
ignoreregex =


[jura12]

лучше-бы привести логи /var/log/vsftpd.log. а править надо vsftpd.conf .

[k790]

лучше-бы привести логи /var/log/vsftpd.log. а править надо vsftpd.conf .

cat /var/log/vsftpd.log

Код: [Выделить]

Mon Jun 29 23:46:31 2015 [pid 2] CONNECT: Client "xx.xx.x.xx"
Mon Jun 29 23:46:32 2015 [pid 1] [anonymous] FAIL LOGIN: Client "xx.xx.x.xx"
Mon Jun 29 23:46:33 2015 [pid 2] CONNECT: Client "xx.xx.x.xx"
Mon Jun 29 23:46:37 2015 [pid 1] [user] OK LOGIN: Client "xx.xx.x.xx"
Mon Jun 29 23:46:41 2015 [pid 2] CONNECT: Client "xx.xx.x.xx"
Mon Jun 29 23:46:43 2015 [pid 1] [anonymous] FAIL LOGIN: Client "xx.xx.x.xx"
Mon Jun 29 23:46:44 2015 [pid 2] CONNECT: Client "xx.xx.x.xx"
Mon Jun 29 23:46:46 2015 [pid 1] [anonymous] FAIL LOGIN: Client "xx.xx.x.xx"
Mon Jun 29 23:46:47 2015 [pid 2] CONNECT: Client "xx.xx.x.xx"
Mon Jun 29 23:46:55 2015 [pid 1] [user] OK LOGIN: Client "xx.xx.x.xx"


[victor00000]

и

Код: [Выделить]

sudo iptables-save

[jura12]

с помощью программы fail2ban-regex протестируйте исключающее выражение и добавьте его в файл vsftpd.conf в параметр ignoreregex = .
это обычное выражение типа этого ^*.\[anonymous
я не проверял.

[k790]

и

Код: [Выделить]

sudo iptables-save

Код: [Выделить]

# Generated by iptables-save v1.4.12 on Tue Jun 30 01:53:52 2015
*filter
:INPUT ACCEPT [189156:33628599]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [199118:17717010]
:fail2ban-ssh - [0:0]
:fail2ban-ssh-ddos - [0:0]
:fail2ban-vsftpd - [0:0]
-A INPUT -p tcp -m multiport --dports 21,20,990,989 -j fail2ban-vsftpd
-A INPUT -p tcp -m multiport --dports 22 -j fail2ban-ssh-ddos
-A INPUT -p tcp -m multiport --dports 22 -j fail2ban-ssh
-A fail2ban-ssh -j RETURN
-A fail2ban-ssh-ddos -j RETURN
-A fail2ban-vsftpd -j RETURN
COMMIT
# Completed on Tue Jun 30 01:53:52 2015
Пользователь решил продолжить мысль 01 Июля 2015, 00:58:52:

с помощью программы fail2ban-regex протестируйте исключающее выражение и добавьте его в файл vsftpd.conf в параметр ignoreregex = .
это обычное выражение типа этого ^*.\[anonymous
я не проверял.

Спасибо, попробую

[victor00000]

k790,
список видишь порт 21?

[k790]

k790,
список видишь порт 21?

Вижу, это говорит о том, что failban следит за фтп или что?