Fail2Ban Script für die VCP API

Hallo Marcoo!
Das hatte ich auch schon versucht. Das hatte ich aber noch nicht versucht als ich da script gepostet hatte
Da kam aber die Warnung immer noch
Dann muss ich noch mal schauen.
Ich vermute irgendwo einen Flüchtigkeitsfehler.
Aber vielen Dank
Gruß Jörn

Nachtrag:
Nun klappt es plötzlich
Ich habe noch mal alles kontrolliert. Ich hatte scheinbar beim Editieren zwischendurch die jail.conf und die jail.local verwechselt. Sagte ja, dass ich ich Flüchtigkeitsfehler vermute
Hier noch mal meine jetzige Konfiguratin in der jail.local:

# Generic filter for pam. Has to be used with action which bans all ports
# such as iptables-allports, shorewall
[pam-generic]




enabled = true
# pam-generic filter can be customized to monitor specific subset of 'tty's
filter	= pam-generic
banaction = iptables-multiport
port = all
logpath  = /var/log/auth.log
maxretry = 3

Nun werde ich weitere Filter durchprobieren
Gruß Jörn

Das freut mich, wenn es nun klappt

Hatte den Fehler nämlich auch vor kurzem und habe rumgerätselt

Hallo Marcoo!
Danke für deine Hilfe
Man sollte immer mal eine Pause machen. Ich habe wohl ständig die beiden Dateien jail.conf und jail.local verwechselt. Das wäre es besser gewesen ich hätte gleich mit nano gearbeitet. Ich wollte es halt wieder mal bequem haben und habe Winscp verwendet. Da verklickt man sich sehr schnell mal. Dann glaube ich, dass ich teilweise auch nicht die Logdatei zur richtigen Zeit geöffnet habe, sodass ich gar nicht gemerkt habe ob die Änderungen nicht doch schon gegriffen haben. Ich habe so wieso mit Konzentrationsproblemen zu kämpfen (gesundheitsbedingt) Da gibt es halt Tage, da sollte ich lieber nichts machen. Und wenn ich mich dann "fest beiße" verliere ich schnell mal den Faden
Nun konnte ich auch die restlichen Filter aktivieren. Nun muss ich beobachten ob die Regeln auch greifen. Das heißt für mich in den nächsten Tagen die Logdateien besonders im Auge zu behalten.
An dieser Stelle möchte ich Sim noch mal ausdrücklich danken, dass er sich die Mühe gemacht hat und dann noch kostenlos das Script hier zur Verfügung stellt
An alle liebe Grüße
Jörn

Hallo Leute!
Kennt jemand folgendes Phänomen?
Die fail2ban.log spuckt unter anderem folgendes aus:
2012-08-08 01:29:41,183 fail2ban.actions: WARNING [pam-generic] 223.202.40.182 already banned
2012-08-08 01:29:42,732 fail2ban.actions: WARNING [ssh] 223.202.40.182 already banned
2012-08-08 01:29:56,197 fail2ban.actions: WARNING [pam-generic] 223.202.40.182 already banned
2012-08-08 01:29:57,746 fail2ban.actions: WARNING [ssh] 223.202.40.182 already banned
2012-08-08 01:30:11,212 fail2ban.actions: WARNING [pam-generic] 223.202.40.182 already banned
2012-08-08 01:30:12,760 fail2ban.actions: WARNING [ssh] 223.202.40.182 already banned
2012-08-08 01:30:26,227 fail2ban.actions: WARNING [pam-generic] 223.202.40.182 already banned
2012-08-08 01:30:27,775 fail2ban.actions: WARNING [ssh] 223.202.40.182 already banned
2012-08-08 01:30:55,803 fail2ban.actions: WARNING [ssh] 223.202.40.182 already banned
2012-08-08 01:30:56,255 fail2ban.actions: WARNING [pam-generic] 223.202.40.182 already banned
2012-08-08 01:31:06,385 fail2ban.actions: WARNING [ssh] 223.202.40.182 already banned
2012-08-08 01:31:09,388 fail2ban.actions: WARNING [pam-generic] 223.202.40.182 already banned
2012-08-08 01:31:21,398 fail2ban.actions: WARNING [ssh] 223.202.40.182 already banned
2012-08-08 01:31:24,401 fail2ban.actions: WARNING [pam-generic] 223.202.40.182 already banned
2012-08-08 01:31:35,409 fail2ban.actions: WARNING [ssh] 223.202.40.182 already banned
2012-08-08 01:31:38,415 fail2ban.actions: WARNING [pam-generic] 223.202.40.182 already banned
2012-08-08 01:31:50,426 fail2ban.actions: WARNING [ssh] 223.202.40.182 already banned
2012-08-08 01:31:53,429 fail2ban.actions: WARNING [pam-generic] 223.202.40.182 already banned
2012-08-08 01:32:04,439 fail2ban.actions: WARNING [ssh] 223.202.40.182 already banned
2012-08-08 01:32:07,445 fail2ban.actions: WARNING [pam-generic] 223.202.40.182 already banned
2012-08-08 01:32:18,455 fail2ban.actions: WARNING [ssh] 223.202.40.182 already banned
2012-08-08 01:32:21,459 fail2ban.actions: WARNING [pam-generic] 223.202.40.182 already banned
2012-08-08 01:32:32,469 fail2ban.actions: WARNING [ssh] 223.202.40.182 already banned
2012-08-08 01:32:35,474 fail2ban.actions: WARNING [pam-generic] 223.202.40.182 already banned
2012-08-08 01:32:46,482 fail2ban.actions: WARNING [ssh] 223.202.40.182 already banned
2012-08-08 01:32:49,487 fail2ban.actions: WARNING [pam-generic] 223.202.40.182 already banned
2012-08-08 01:33:02,498 fail2ban.actions: WARNING [ssh] 223.202.40.182 already banned
2012-08-08 01:33:04,502 fail2ban.actions: WARNING [pam-generic] 223.202.40.182 already banned

Ich habe noch nichts richtiges gefunden oder falsch gesucht
In der VCP Firewall werden die IP's eingetragen.

Würde mich freuen wenn einer eine Idee hat. Meine Eintragungen in der jail.local lauten:

[ssh]




enabled = true
port	= ssh
filter	= sshd
logpath  = /var/log/auth.log
maxretry = 3




# Generic filter for pam. Has to be used with action which bans all ports
# such as iptables-allports, shorewall
[pam-generic]




enabled = true
# pam-generic filter can be customized to monitor specific subset of 'tty's
filter	= pam-generic
banaction = iptables-multiport
port = all
logpath  = /var/log/auth.log
maxretry = 3

Gruß Jörn

Die Firewall hängt manchmal ein wenig..

Vielleicht hilft dir das hier:
Wichtige Informationen zur VCP Firewall

Gib bescheid, wenns bei dir geklappt hat

Vielen Dank für deine Antwort!
Ich hatte zwar da schon gelesen,habe eben gesehen, das sich meine Firewalleinstellungen trotz lesens unterschieden haben von dem Beispiel im Wiki.
Ich habe jetzt mal alles so eingestellt wie im Beispiel angegeben.
Nun werde ich das Ganze noch mal beobachten. Melde mich, wenn es geklappt oder nicht geklappt hat.
Gruß Jörn

Leider tritt das Phänomen immer noch auf

2012-08-08 22:34:59,526 fail2ban.actions: WARNING [ssh] Ban 80.82.113.5
2012-08-08 22:35:01,916 fail2ban.actions: WARNING [ssh] 80.82.113.5 already banned
2012-08-08 22:35:01,964 fail2ban.actions: WARNING [pam-generic] Ban 80.82.113.5
2012-08-08 22:35:04,920 fail2ban.actions: WARNING [ssh] 80.82.113.5 already banned
2012-08-08 22:35:09,925 fail2ban.actions: WARNING [ssh] 80.82.113.5 already banned
2012-08-08 22:35:10,383 fail2ban.actions: WARNING [pam-generic] 80.82.113.5 already banned
2012-08-08 22:35:12,928 fail2ban.actions: WARNING [ssh] 80.82.113.5 already banned
2012-08-08 22:35:17,933 fail2ban.actions: WARNING [ssh] 80.82.113.5 already banned
2012-08-08 22:35:18,388 fail2ban.actions: WARNING [pam-generic] 80.82.113.5 already banned
2012-08-08 22:35:19,934 fail2ban.actions: WARNING [ssh] 80.82.113.5 already banned
2012-08-08 22:35:24,939 fail2ban.actions: WARNING [ssh] 80.82.113.5 already banned
2012-08-08 22:35:25,393 fail2ban.actions: WARNING [pam-generic] 80.82.113.5 already banned

Und hier meine Firewalleinstellungen

[Blockierte Grafik: http://js-cloud.de.vu/owncloud/Bildschirmfoto.png]

Gruß Jörn

Hallo Sim!
Die ersten Regeln wurden ja durch dein Script angelegt und verschwinden irgendwann wieder.
Deshalb habe ich mich dazu entschieden erst mal deinen zweiten Vorschlag

Zitat

Wenn das nicht hilft ganz am Ende eine drop all rule einfügen. Für alle states.

zu versuchen.
Melde mich in jeden Fall wenn ich neue Ergebnisse habe
Gruß Jörn

Hallo Sim!
Danke für deine Antwort. Ich stehe im Augenblick ein bisschen auf der Leitung deshalb meine Nachfrage:
Heißt das nun dass ich da nichts ändern kann oder habe ich immer noch die Firewall falsch konfiguriert?
Ich hoffe ich nerve dich nicht zu sehr. Ich möchte es nur gerne Verstehen damit ich notfalls noch dazu lerne. Werde in diesem Jahr 50 Jahre. Ich habe mit der Computerei vor 20 Jahren begonnen da fällt einem das Lernen nicht mehr ganz so leicht wie mit 30 Jahren. Ich bin aber auch. Ich habe mir das meisste Autodidaktisch beigebracht (Bücher, Fachzeitschriften, Internet, Foren, kluge Leute, selbst probieren ). Manchmal bin ich dann froh über einen kleinen Tipp von außen.
Herzlichen Dank für die Geduld. Falls du noch weitere Informationen meinerseits benötigst melde dich einfach noch mal.
Gruß Jörn

Ich verfolge die letzten Antworten in diesem Beitrag mit Freude, und hoffe auf ein gutes Ergebnis, welches ich dann auch testen werde. Habe derzeit das gleiche Problem, was auch in einem anderen Beitrag kurz durchgekaut wurde. Ich muss meinen vServer eine ganze Weile (ca. 1 Stunde) abgeschaltet lassen, und mit komplett geschlossener Firewall starten (Input und Output auf globalen Drop und eine generelle Eingangsregel), damit der Server tatsächlich nicht von aussen erreichbar ist. Hab den Server so auch mal 24 Stunden laufen lassen, und er blieb dicht. Füge ich aber auch nur eine Regel ein, egal ob einer Freigabe für einen Port im Input oder einen Drop für eine IP im Input, dann geht die Firewall in beide Richtungen auf wie ein Scheunentor, so das er z.B. auf Port 22, 80, 8123, 10000 (sind Dienste die ich prüfen kann) Anfragen akzeptiert und beantwortet. In dem anderen Beitrag, in welchem ich das Problem geschildert habe, wurde ich auch auf die Informationen zu der Firewall und der WiKi hingewiesen, aber das hat mir nicht weiter geholfen. Ich soll noch den Support kontaktieren, was ich aber erst machen möchte wenn ich genau weiß was wann passiert. Da ich jedesmal zum Testen eine ganze Weile warten muss, wird der Kontakt zum Support noch ein wenig warten müssen.

Bitte meinen letzten Beitrag löschen.

schimmelmann : Bitte PN beachten!

Danke für das Script Einrichtung war echt einfach.
Und eine IP wurde auch schon gebannt

Viele Grüße
Neo

Ich habe jetzt mal den Suport angeschrieben. Mal sehen was da passiert.
Gruß Jörn

Bei mir hat der Support geholfen.

Kann ich nur bestätigen und das promt.
Netcup ist einfach spitze
Jetzt werde ich das alles noch mal einrichten und dann sehen wir weiter.
Gruß Jörn

Schön dass das Problem durch den support
gelöst wurde, aber:
Es wäre vielleicht nicht schlecht die Lösung
mal für andere hier auch zu posten

Bitte dazu das mehrfach verlinkte Thema beachten. Es handelt sich nicht um eine Lösung die wir pauschal "einfach so" auf alle Systeme ausrollen können, daher sollen sich Kunden mit explizit dem in dem von uns erstellten Thema genannten Problem, an den Support wenden. Anders kann dies nicht gelöst werden.