fail2ban, aparece no iptables mas não bloqueia [RESOLVIDO]

1. fail2ban, aparece no iptables mas não bloqueia [RESOLVIDO]

Gilton Cavallini
g1lt0n

(usa Arch Linux)

Enviado em 06/11/2014 - 12:25h

Boa tarde,

Configurei o fail2ban no meu servidor, em testes, errando a senha varias vezes, o fail2ban cria a regra, entretanto, continuo conseguindo acessar todos os serviços do servidor atraves do ip banido, alguem sabe o porque disso? segue iptables:


# iptables -nvL
Chain INPUT (policy ACCEPT 540 packets, 68253 bytes)
pkts bytes target prot opt in out source destination
0 0 f2b-ssh tcp -- * * 0.0.0.0/0 0.0.0.0/0 multiport dports 22

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination

Chain OUTPUT (policy ACCEPT 549 packets, 117K bytes)
pkts bytes target prot opt in out source destination

Chain f2b-ssh (1 references)
pkts bytes target prot opt in out source destination
0 0 REJECT all -- * * 152.232.224.XX 0.0.0.0/0 reject-with icmp-port-unreachable
0 0 RETURN all -- * * 0.0.0.0/0 0.0.0.0/0



  


2. MELHOR RESPOSTA

Buckminster
Buckminster

(usa Debian)

Enviado em 10/11/2014 - 20:14h

jaksonwkr escreveu:

g1lt0n escreveu:

então, infelizmente não sei como mudar isso, poderia me dizer como eu faço?


pra mudar a politica padrao usa: iptables -P INPUT DROP


Faça como acima. coloque INPUT e FORWARD como DROP e deixe OUTPUT como ACCEPT.

Caso alguns serviços sejam bloqueados, daí tu libera somente o que tu quer nas chains INPUT e FORWARD. Assim fica mais seguro.

http://www.vivaolinux.com.br/artigo/Manual-do-IPtables-Comentarios-e-sugestoes-de-regras

3. Re: fail2ban, aparece no iptables mas não bloqueia [RESOLVIDO]

Daniel Lara Souza
danniel-lara

(usa Fedora)

Enviado em 06/11/2014 - 12:42h

posta ai a sua configuração do fail2ban


4. Re: fail2ban, aparece no iptables mas não bloqueia [RESOLVIDO]

Gilton Cavallini
g1lt0n

(usa Arch Linux)

Enviado em 06/11/2014 - 12:54h

[INCLUDES]

before = paths-debian.conf

[DEFAULT]

ignoreip = 127.0.0.1/8
ignorecommand =
bantime = 600
findtime = 600
maxretry = 3
backend = auto
usedns = warn
logencoding = auto
filter = %(__name__)s
destemail = gilxxx@gmail.com
sender = gilxxx@gmail.com
mta = mail
protocol = tcp
chain = INPUT
port = 0:65535

banaction = iptables-multiport

action_ = %(banaction)s[name=%(__name__)s, bantime="%(bantime)s", port="%(port)s", protocol="%(protocol)s", chain="%(chain)s"]

action_mw = %(banaction)s[name=%(__name__)s, bantime="%(bantime)s", port="%(port)s", protocol="%(protocol)s", chain="%(chain)s"]
%(mta)s-whois[name=%(__name__)s, dest="%(destemail)s", protocol="%(protocol)s", chain="%(chain)s"]

action_mwl = %(banaction)s[name=%(__name__)s, bantime="%(bantime)s", port="%(port)s", protocol="%(protocol)s", chain="%(chain)s"]
%(mta)s-whois-lines[name=%(__name__)s, dest="%(destemail)s", logpath=%(logpath)s, chain="%(chain)s"]

action_xarf = %(banaction)s[name=%(__name__)s, bantime="%(bantime)s", port="%(port)s", protocol="%(protocol)s", chain="%(chain)s"]
xarf-login-attack[service=%(__name__)s, sender="%(sender)s", logpath=%(logpath)s, port="%(port)s"]


action_blocklist_de = blocklist_de[email="%(sender)s", service=%(filter)s, apikey="%(blocklist_de_apikey)s"]

action_badips = badips.py[category="%(name)s", banaction="%(banaction)s"]

action = %(action_mw)s

[ssh]
enabled = true
port = ssh
filter = sshd
backend = systemd
logpath = %(sshd_log)s
maxretry = 3



5. Re: fail2ban, aparece no iptables mas não bloqueia [RESOLVIDO]

Gilton Cavallini
g1lt0n

(usa Arch Linux)

Enviado em 07/11/2014 - 12:11h

Eu vi que o serviço iptables.service não estava rodando, coloquei ele pra rodar, mas ainda assim, continua o mesmo problema, ele coloca o ip no iptables mas o acesso continua normal, acredito que a regra esteja sendo inserida errada no iptables, mas não sei por que.


6. Re: fail2ban, aparece no iptables mas não bloqueia [RESOLVIDO]

Gilton Cavallini
g1lt0n

(usa Arch Linux)

Enviado em 10/11/2014 - 07:36h

up


7. Re: fail2ban, aparece no iptables mas não bloqueia [RESOLVIDO]

Buckminster
Buckminster

(usa Debian)

Enviado em 10/11/2014 - 11:22h

Não seria porque você está com as políticas como ACCEPT?

# iptables -nvL
Chain INPUT (policy ACCEPT 540 packets, 68253 bytes)
pkts bytes target prot opt in out source destination
0 0 f2b-ssh tcp -- * * 0.0.0.0/0 0.0.0.0/0 multiport dports 22

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination

Chain OUTPUT (policy ACCEPT 549 packets, 117K bytes)
pkts bytes target prot opt in out source destination

Chain f2b-ssh (1 references)
pkts bytes target prot opt in out source destination
0 0 REJECT all -- * * 152.232.224.XX 0.0.0.0/0 reject-with icmp-port-unreachable
0 0 RETURN all -- * * 0.0.0.0/0 0.0.0.0/0


8. Re: fail2ban, aparece no iptables mas não bloqueia [RESOLVIDO]

Gilton Cavallini
g1lt0n

(usa Arch Linux)

Enviado em 10/11/2014 - 11:30h

então, infelizmente não sei como mudar isso, poderia me dizer como eu faço?


9. Re: fail2ban, aparece no iptables mas não bloqueia [RESOLVIDO]

Jakson Wilker
jaksonwkr

(usa CentOS)

Enviado em 10/11/2014 - 17:37h

g1lt0n escreveu:

então, infelizmente não sei como mudar isso, poderia me dizer como eu faço?


pra mudar a politica padrao usa: iptables -P INPUT DROP



10. Re: fail2ban, aparece no iptables mas não bloqueia [RESOLVIDO]

Gilton Cavallini
g1lt0n

(usa Arch Linux)

Enviado em 11/11/2014 - 09:03h

buckminster escreveu:

jaksonwkr escreveu:

g1lt0n escreveu:

então, infelizmente não sei como mudar isso, poderia me dizer como eu faço?


pra mudar a politica padrao usa: iptables -P INPUT DROP


Faça como acima. coloque INPUT e FORWARD como DROP e deixe OUTPUT como ACCEPT.

Caso alguns serviços sejam bloqueados, daí tu libera somente o que tu quer nas chains INPUT e FORWARD. Assim fica mais seguro.

http://www.vivaolinux.com.br/artigo/Manual-do-IPtables-Comentarios-e-sugestoes-de-regras


Bom dia,

Apliquei a sugestão, mas infelizmente não funcionou, o fail2ban reconheceu e a regra foi adicionada, mas o acesso continou acontecendo, segue:

Chain INPUT (policy DROP 83 packets, 10512 bytes)
pkts bytes target prot opt in out source destination
0 0 f2b-vsftpd tcp -- * * 0.0.0.0/0 0.0.0.0/0 multiport dports 21,20,990,989
0 0 f2b-ssh tcp -- * * 0.0.0.0/0 0.0.0.0/0 multiport dports 22
405 36407 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:2222
57 9428 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:9091

Chain FORWARD (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination

Chain OUTPUT (policy ACCEPT 51 packets, 5781 bytes)
pkts bytes target prot opt in out source destination

Chain f2b-ssh (1 references)
pkts bytes target prot opt in out source destination
0 0 REJECT all -- * * 152.232.228.155 0.0.0.0/0 reject-with icmp-port-unreachable
0 0 RETURN all -- * * 0.0.0.0/0 0.0.0.0/0

Chain f2b-vsftpd (1 references)
pkts bytes target prot opt in out source destination
0 0 RETURN all -- * * 0.0.0.0/0 0.0.0.0/0


Alguma outra ideia? infelizmente eu entendo pouco do iptables.


11. Re: fail2ban, aparece no iptables mas não bloqueia [RESOLVIDO]

Jakson Wilker
jaksonwkr

(usa CentOS)

Enviado em 11/11/2014 - 10:02h

teu ssh ta escutando na 22 ou na 2222?


12. Re: fail2ban, aparece no iptables mas não bloqueia [RESOLVIDO]

Gilton Cavallini
g1lt0n

(usa Arch Linux)

Enviado em 11/11/2014 - 10:07h

2222



01 02



Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts