vServer fail2ban Alternative

  • Hey!
    Das Script musste ich für Debian 6 nen bissl anpassen, aber es läuft soweit.


    Eine Frage beschäftigt mich: Wie kann ich dennoch eine mail bekommen, wenn eine IP geblockt wird?


    BTW: Das Script für squeeze: if [[ blabla ]] durch if [bla bla] ersetzen und läuft.


    Vielleicht noch so nen bissl nen if [ ipversion != v4 ] reinbasteln und schon müllt das script das VCP nicht den ipv6 bereich zu...


  • Eine Frage beschäftigt mich: Wie kann ich dennoch eine mail bekommen, wenn eine IP geblockt wird?

    in der datei jail.conf

    Code
    destemail = mymailaddresse
    banaction = sendmail


    wobei die ban action natuerlich auch eine andere mail action sein kann. sie dir einfach die verfuegbaren actions in

    Code
    /etc/fail2ban/action.d/

    an

  • :!:

    Zitat

    Hi Knutowskie,
    folgendes ist auch die Antwort auf deine Mail:


    Anstatt die Klammern auszutauschen, hätte auch gereicht, die erste Zeile in !#/bin/bash zu ändern.
    Es ist Absicht dass die IPv4 Adressen in den V6 Bereich geschrieben werden, da V4 Adressen in V6 Adressen emuliert werden können. Es schadet nicht, dass die IP auch im V6 Bereich gebannt wird.
    Es wird auch nichts zugemüllt, weil die IP beim entbannen auch aus der V6 Firewall gelöscht wird.

  • Hi@ALL
    ich hab hier ein Problem mit der unban-action
    da ich hier ne feste IP habe, habe ich natürlich auch ein paar FW-Regeln erstellt,
    die nur von hier einen Zugang zulassen. Wenn ich nun also mal gebannt werde,
    bewusst zu Testzwecken oder auch mal unbewusst, werden bei der anschliessenden
    unban alle Regeln gelöscht die meine IP betreffen. Also auch diejenigen die nicht durch die
    sync.sh eingetragen werden.
    Gibt es eine Möglichkeit die unban dahingehend anzupassen, nur die selbst definierten Regeln
    zu löschen anstatt alle die die IP betreffen?
    Und wenn ja , was wäre da zu ändern?


    gruss


    michi

    It's me, only me, pure michi 🦆

    RS 1000 SAS G8 | Cyber Quack

    VPS: 50 G7 |B Ostern 2017|200 | Karneval | piko

    WH: SmallEi | Adv17 Family |4000 SE|1000 SE

  • Hi extremmichi,


    es waere schon moeglich, z.B. nur die Regeln loeschen zu lassen, welche alle ports fuer eine ip sperren, das wuerde dann deinen Wunsch erfuellen, jedoch fehlt mir im Moment die Zeit dazu... sorry.

  • In einem anderen Thread (Screenshot von Alex - vermutlich im längsten Thema) stand irgendwo, dass eine "Favoriten Funktion" für die Firewall kommt, bei der die als Favorit markierten Regeln nicht gelöscht werden können. Das wäre für diesen Anwendungszweck ideal ;)



    MfG Christian

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

  • also was mir spontan einfallen würde ist zwar sehr statisch aber doch relativ einfach:


    1. Man ändert kurzzeitig in der jail.conf die Sperrdauer auf ca. 60 sek und lädt fail2ban neu.
    2. Als nächstes öffnet man das Shell-Skript und kommentiert unten im Skript das rm -R /tmp/nvcp und die beiden curl-Aufrufe zum löschen aus, damit man sich die ipv4.txt bzw. ipv6.txt mal anschauen kann.
    3. Man sorgt dafür, dass fail2ban eine IP sperrt und wieder entsperrt.
    4. Anschließend kann man sich in den o.g. Textdateien die IDs der Rules heraussuchen, die nicht gelöscht werden sollen. Man implementiert nun eine Filtermethode ins Shell-Skript, wobei der curl-Aufruf dann nur gemacht werden soll, wenn die ID ungleich der nicht zu löschenden IDs ist.
    5. Zum Schluss müssen einfach die 3 Befehle wieder einkommentiert und die Sperrdauer wieder zurückgesetzt werden.


    Ist zwar nicht die beste Lösung, da man bei jeder neuen Regel die ID ins Skript mit aufnehmen muss, aber ist dafür schnell zu realisieren ;)

  • Hallöchen meine lieben NetCupler,


    Ich wollte in Erfahrung bringen ob mein Fail2Ban richtig funktioniert, denn die eigentliche gebannte IP hat weiterhin Zugriff auf meinen Server bzw kann versuchen sich einzuloggen:


    Code
    2012-06-27 12:03:22,080 fail2ban.actions: WARNING [ssh] Ban 109.85.137.64
    2012-06-27 12:03:22,540 fail2ban.actions.action: ERROR  php -f /etc/fail2ban/firewallapi.php add INPUT "109.85.137.64" DROP returned 100
    2012-06-27 12:03:39,556 fail2ban.actions: WARNING [ssh] 109.85.137.64 already banned
    2012-06-27 12:04:12,895 fail2ban.actions: WARNING [ssh] 109.85.137.64 already banned
    2012-06-27 12:04:25,907 fail2ban.actions: WARNING [ssh] 109.85.137.64 already banned


    ISt das soweit richtig? Denn die Errormeldung stört mich ^^

  • Als Passwort muss das Webservice Kennwort aus den Optionen im VCP genommen werden.
    Das normale Webinterface Kennwort geht nicht.


    Es gibt eine Option in meinem Script die DEBUG heißt. Wenn Du die auf false setzt, werden alle Ausgaben deaktiviert. So Verschwindet auch der "returned 100" Fehler. Das aber erst machen wenn der auch wirklich Firewallregeln erstellt. ;)


    Kannst ja zum Testen das Script auch händisch aufrufen.

  • hallo,
    das thema ist zwar schon ein "bisschen" her, aber hat das script noch jemand im einsatz? leider funzt es anscheinend nicht mehr!? und für eine umstellung auf den webservice fehlt mir momentan etwas die zeit!


    danke
    jens

  • Hey,
    ich kann jetzt nur für mein Script sprechen:


    Umstellung ist doch gar kein Problem. Musst doch nur die Datei austauschen, Webservice Passwort setzen und die Befehle in der fail2ban Config anpassen. Ist sehr empfehlenswert, da so nichts mehr passieren kann, wenn Netcup am Design des VCPs rumbastelt.


    Link zu meinem Script in meiner Signatur.