Das Script funktioniert nach wie vor tadellos.
Zitat von jkn;13100hallo,
kann es sein, dass netcup was am openvcp-firewall geändert hat & nun von fail2ban keine regeln mehr geschrieben werden koennen??? :confused: jedenfalls is das bei mir seit ein paar tagen der fall! wie sieht das bei euch aus & was muesste an dem script angepasst werden, damit es wieder funktioniert??
thx
jkn
Hab gerade nachgesehen, bei mir auch keine Probleme.
entschuldigt meine unwissenheit.. habe bisher recht wenig über fail2ban gelesen, und das was ich bisher gefunden hab, sind nur lösungen direkt über iptables 
ich les mich mal weiter durch..
aber ich wüsste gerne die lösung, um dieses script spezifisch nutzen zu können
wie bring ich's zum laufen?
was brauche ich dazu?
hallo,
also bei mir klappte jetzt auch wieder! das problem war, dass das cookie unter /tmp/ovcp noch bestand & anscheinend irgendwann mal nicht richtig gelöscht wurde. warum auch immer & der das nicht überschreiben wollte! erst nachdem ich das cookie und den ordner gelöscht hatte ging es wieder völlig problemlos. vielleicht kann man da in das script noch ne entsprechende abfrage mit reinbasteln, dass der spass bei bestehen überschrieben wird etc. 
by
jkn
hallo,
ich weiss ja nicht wie es bei euch ist, aber ich hatte das problem mit fail2ban & dem bestehenden cookie heute schon wieder! dabei lief der server eigentlich 1a! 
wäre toll, wenn es da eine lösung gäbe, sonst muss ja jeden tag der fail2ban-client status gecheckt werden. ich nutze im übrigen die version 0.9 von fail2ban, falls das damit evtl. in zusammenhang stehen koennte!?
by
jkn
Edit: Neue Version hier.
ok, hab ich gemacht! vielen dank! werde es mal ne weile jeden tag beobachten, ob das problem gelöst ist!
thx
jkn
hmmm irgendwie fügt er bei mir leider nichts in die Firewall ein und in meiner fail2ban.log steht:
sync.sh 210.77.69.159 add returned 7e00
mfg Sascha
EDIT: Ok sry Rechte waren falsch gesetzt jetzt gehts
Habe ein Problem mit Fail2ban er entdeckt die Sasl smtp hacker nicht.
Hier ein auszug aus dem mail.log welcher ich gerne mit dem sasl filter abfangen möchte.
Feb 22 19:34:43 server1 postfix/smtpd[23069]: warning: unknown[219.143.142.249]: SASL LOGIN authentication failed: authentication failureHier mein sasl filter, kapiere einfach diese regex definitionen nicht was ich da eintragen muss damit er obigs erkennt.
# Fail2Ban configuration file
#
# Author: Yaroslav Halchenko
#
# $Revision: 510 $
#
[Definition]
# Option: failregex
# Notes.: regex to match the password failures messages in the logfile. The
# host must be matched by a group named "host". The tag "<HOST>" can
# be used for standard IP/hostname matching and is only an alias for
# (?:::f{4,6}:)?(?P<host>\S+)
# Values: TEXT
#
failregex = : warning: [-._\w]+\[<HOST>\]: SASL (?:LOGIN|PLAIN|(?:CRAM|DIGEST)-MD5) authentication failed$
# Option: ignoreregex
# Notes.: regex to ignore. If this regex matches, the line is ignored.
# Values: TEXT
#
ignoreregex =Bei failregex fällt mir auf den ersten Blick nur folgendes auf: Ein Dollarzeichen gibt immer das Ende eines Strings/Zeile an, und authenticatio failed steht im Log ja scheinbar nicht am Ende. Also entweder das Dollar-Zeichen weglassen oder davor ein .*? verwenden, eventuell auch nur ein .* - je nachdem welcher Regex Typ dort verwendet wird.
MfG Christian
Ich würde sagen das Problem ist das nach
Zitatauthentication failed
gesucht wird, aber
Zitatauthentication failure
ausgegeben wird.
Also mal so versuchen
Zitatfailregex = : warning: [-._\w]+\[<HOST>\]: SASL (?:LOGIN|PLAIN|(?:CRAM|DIGEST)-MD5) authentication failure$
Bei mir gehts auch nicht...
Wenn ich das Skript manuell ausführe kreige ich als Fehlermeldung:
sync.conf: line 72: [: =: unary operator expected
sync.conf: line 82: [: =: unary operator expectedSo, das Skript läuft jetzt.
Folgendes Problem:
Meine Regeln werden, wie im Ausschnitt im Anhang, wie folgt vergeben:
* alle benötigten Ports erlauben
* danach alle anderen blocken
Das Skript packt die Regeln jetzt hinter die Drop-Regel und somit haben die geblockten IPs immernoch Zugriff...was kann ich dagegen machen? Kann man das Skript so schreiben, dass die IPs davor, oder wo sie auch immer hinmüssen, geschrieben werden?
Grüße
ich hab gemerkt dass zuerst alle geblockt werden müssen, und erst danach alle benötigten freigegeben werden müssen....
Erst ACCEPT, dann DROP 
Die Regeln können im openVCP "sortiert" werden
Also würde müsste es doch eigentlich nach meinem "Schema" gehen, oder?
Er alle Ports akzeptieren, dann alle blocken & danach trägt das Skript dann die einzelnen IPs ein...
Geht nämlich nicht:(
Wenn es eine allgemeine DROP Regel gibt muss die am Ende stehen, davor kommen dann die ACCEPT Regeln.
Wenn man eine allgemeine DROP Regel hat und davor eine allgemeine ACCEPT Regel, heben sich die Regeln gegenseitig auf
Ich habe das so verstanden, dass die Regeln von oben nach unten durchgegangen werden und die erste passende wird genommen. In deinem Fall sollten demnach alle Anfragen von allen IPs auf Port 80 zugelassen und alle anderen Anfragen geblockt werden. Alle Regeln, die danach noch folgen, dürften nicht berücksichtigt werden.
Also müsste man das Skript so umschreiben, dass die Drop Regel für die IPs vor die allgemeine Drop Regel der Ports geschoben werden?
Hat wer Lust und Zeit? 
Hm, gibt es einen Grund, wieso drei Regeln (TCP, UDP und ICMP) gesetzt werden, wenn es auch die Wildmark "any" gibt?
