Es gibt ne neue Version des Scripts im Gitweb.
- STATE wird nun standardmäßig auf ESTABLISHED,RELATED,NEW gesetzt
- Als Sortierung wird nun explizit "0" angegeben.
Außerdem habe ich die Anleitung in eine PDF Ausgelagert die nun auch im GIT liegt.
Bitte mal Korrektur lesen und Verbessungsvorschläge machen. 
Links wie immer im ersten Beitrag des Threads.
Hallo Sim!
erst einmal Danke für deine Mühe
Ich habe nun dein neues Script installiert. Dann hatte ich plötzlich wieder den gleichen Effekt, dass die IP's nicht gebannt wurden. Die zweite IP wurde auch nicht an erster Stelle eingefügt, sondern an zweiter Stelle. Jetzt habe ich versuchsweise bei "sort" statt der "0" eine "1" eingetragen und plötzlich geht es.
Habe zwei Durchläufe gemacht, das heißt ich habe dreimal die IP gewechselt, das Blocken klappte. Dann Server über VCP neu gestartet, das gleiche noch mal und das Blocken klappte immer noch. Das hatte bisher noch nicht geklappt.
Jetzt werde ich das Script mal laufen lassen und warte mal die nächsten Angriffe ab.
Gruß Jörn
Das finde ich jetzt wirklich interessant.
Fakt ist, das es auch nach dem dritten Restart des Servers endlich funktioniert. Bin jetzt mal auf die echten Banns gespannt.
Wünsche dir noch einen schönen Abend.
Gruß Jörn
So, ich hatte heute Kontakt mit Netcup und habe mit der Hilfe von Kai und Oli eine neue Version ausgerollt. Neben der expliziten Angabe des State wird nun auch noch als explizite Ziel IP 0.0.0.0/0 angegeben. Bis jetzt gibt es eine Erfolgsquote von 100%.
Bin gespannt wie es bei euch aussieht.
Vielen Dank an Kai und Oli fürs analysieren! 
Hallo Sim!
Bei mir hatte es schon mit der Änderung von "sort=0" auf "sort=1" funktioniert.
Werde jetzt mal die neue Version installieren.
Bin mal neugierig
Gruß Jörn
Hallo Sim!
Es ist absolut verückt, bei mir wird die neu gebannte IP nur an erster Stelle eingefügt, wenn "sort" auf "1" steht. Auch bei deiner neuesten Version.
Bei sort=0 fügt er die IP an zweiter Stelle ein.
Naja für mich ist es egal, hauptsache es funktioniert. Und das scheint so zu sein
Also, vielen Dank für deine Bemühungen und an die Herren vom Support.
Gruß Jörn
Ich habe jetzt noch mal genauer beim Support nachgefragt. Es lag ein wenig an beidem. Zum einen das keine Destination IP angegeben war, zum anderen das als Sortierung eine "0" verwendet wurde.
Ich checke heute Abend noch mal die neue Version mit Sort=1 ein, dann sollte endlich alles funktionieren.
Hallo Sim!
Das nenne ich mal einen starken Einsatz für das Allgemeinwohl. Vielen Dank für das Script. Das lässt einen doch gleich ruhiger schlafen
Gruß Jörn
Hallo Sim!
Nun scheint es so zu laufen, wie es sein soll.
Sollte noch irgendetwas sein melde ich mich.
Gruß Jörn
Bei mir scheint auch alles zu klappen.
Auf die Lösung muss man auch erst mal kommen. 
Da wünsche ich mir definitiv ein bisschen mehr gesprächigkeit der API was genaue Fehlermeldungen usw angeht.
Hallo Sim!
Kleiner Nachtrag:
Es muss nichts bedeuten und ich behalte es erst mal im Auge:
So sieht meine fail2ban.log nach dem letzten Start aus:
2012-09-12 02:39:16,122 fail2ban.actions: WARNING [courierauth] Ban 94.102.6.237
2012-09-12 05:44:10,429 fail2ban.actions: WARNING [courierauth] Ban 173.166.38.101
2012-09-12 06:06:52,720 fail2ban.actions: WARNING [postfix] Ban 176.31.226.232
2012-09-12 08:50:23,274 fail2ban.actions: WARNING [proftpd] Ban 77.176.204.255
2012-09-12 11:17:37,703 fail2ban.actions: WARNING [courierauth] Ban 122.56.37.34
2012-09-12 11:17:38,951 fail2ban.actions: WARNING [courierauth] 122.56.37.34 already bannedDas schreibe ich dir nur, fallst du es für die weitere Programmierung brauchen kannst
Ich werde bewusst noch keinen Neustart machen um zu sehen, wie sich das jetzt weiter verhält.
Wenn sich weiteres ergibt melde ich mich wieder.
Gruß Jörn
Ich würde vermuten, dass das fail2ban hier einmal nicht schnell genug gescannt und gesperrt hatte.
Die Regel sollte aber korrekt angelegt worden sein, da danach ja keine weiteren "already banned" fehler mehr auftreten
Ja, das vermute ich auch. Deshalb beobachte ich auch weiter. Vorher waren es ja in der Richtung viele Meldungen mehr
Gruß Jörn
Wie wäre es eigentlich, wenn man optional einen weiteren Parameter in der Ban-Action angeben könnte, welcher in dem Kommentar mit eingefügt wird? Ich würde dann z.B. in dem jeweiligen Action-File in der actionban mit angeben über welches Protokoll (welche Fail2Ban-Action/welcher Filter) der Eintrag vorgenommen wurde. Fänd ich persönlich noch toll.
das hast du doch in der fail2ban.log
da die Regeln ja auch wieder gelöscht werden , sind nach 10 min auch die Kommentare weg
du müsstest also ständig im VCP online sein
Hallo,
vielen Dank für das super Script! Funktioniert sehr gut.
Was mir aufgefallen ist:
- Ich habe bei mir im VCP keinen "Webservice" Tab und es funktionieren meine normalen Zugangsdaten. Ich weiß nicht warum das so ist, aber ich würde mir wünschen das wäre in der Doku erwähnt.
- IPv6 funktioniert nicht (liegt evtl. an fail2ban selbst, noch nicht informiert)
- manchmal kommt die "already banned" Fehlermeldung, die hier bereits öfters geschrieben wurde.
Verbesserungsvorschlag:
- Als Kommentar angeben/übergeben, "warum" (z.B. ssh-dos) und seit wann eine IP gesperrt ist.
Und zwei Fragen habe ich noch:
- Warum muss/wird bei "Zusatz" und "Zusatz Wert" (match/matchValue) etwas angegeben? Wird nicht "alles" gesperrt, wenn man es komplett leer lässt? Das habe ich bisher so bei manuell angelegten Regeln gemacht und es hat bisher immer wunderbar funktioniert. Habe deswegen auch im Script die beiden Felder geleert. Funktioniert perfekt.
- Kann man fail2ban so konfigurieren das SYN_RECV Floods geblockt werden?
Zu dem Passwort-Problem:
Da scheint irgendwas nicht richtig zu laufen. Schreib mal am besten den Support an.
IPv6 habe ich selbst noch nicht getestet mangels IPv6 Client. Vielleicht kann da ja jemand anderes was zu sagen. 
Bei den "already banned" Regeln wird wohl an der Verzögerung zum Webservice liegen. Bis die Regel hinzugefügt wurde kann es auch mal 2-5 Sekunden dauern. Der STATE Zusatz wurde hinzugefügt da es ja bis vor kurzem Probleme mit der Wirksamkeit der Regeln gab. Es wird trotzdem alles geblockt. Es gibt nur diese drei STATES.
Das Feature einen Zusatz in den Kommentar einzusetzen werde ich bei Gelegenheit noch einbauen. Du bist jetzt ja schon der zweite der das möchte.
Hallo!
ZitatBei den "already banned" Regeln wird wohl an der Verzögerung zum Webservice liegen. Bis die Regel hinzugefügt wurde kann es auch mal 2-5 Sekunden dauern.
Das kann ich nur bestätigen. Ich habe ab und zu mal einen Eintrag dazwischen. In den Logs kann ich erkennen, dass die Angriffe kurz hintereinander gekommen sind. Allerdings war es pro gebannter IP max. ein "allready banned" Eintrag. Das heißt für mich das die Regeln nun greifen.
Die letzten Änderungen am Script haben die bekannten Probleme endlich gelöst.
Danke Sim, danke Support
