FTP über Firewall richtig sperren?

Pionier · Jan 3rd 2011

Hallo und einen schönen guten Morgen an alle.

Ich hab ein kleines, nervendes Problem mit einer fremden IP.
Seit einigen Tagen, versucht diese einen Login auf meinen FTP (pure-ftpd)

Log: (kleiner Auszug)

Code

Jan  3 08:40:01 srv1 pure-ftpd: (?@127.0.0.1) [INFO] New connection from 127.0.0.1
Jan  3 08:40:01 srv1 pure-ftpd: (?@127.0.0.1) [INFO] Logout.
Jan  3 08:41:57 srv1 pure-ftpd: (?@127.0.0.1) [INFO] New connection from 127.0.0.1
Jan  3 08:41:57 srv1 pure-ftpd: (?@127.0.0.1) [INFO] Logout.
Jan  3 08:42:08 srv1 pure-ftpd: (?@92.241.169.192) [INFO] New connection from 92.241.169.192
Jan  3 08:42:08 srv1 pure-ftpd: (?@92.241.169.192) [INFO] New connection from 92.241.169.192
Jan  3 08:42:08 srv1 pure-ftpd: (?@92.241.169.192) [INFO] New connection from 92.241.169.192
Jan  3 08:42:08 srv1 pure-ftpd: (?@92.241.169.192) [INFO] New connection from 92.241.169.192
Jan  3 08:42:11 srv1 pure-ftpd: (?@92.241.169.192) [INFO] PAM_RHOST enabled. Getting the peer address
Jan  3 08:42:12 srv1 pure-ftpd: (?@92.241.169.192) [INFO] PAM_RHOST enabled. Getting the peer address
Jan  3 08:42:12 srv1 pure-ftpd: (?@92.241.169.192) [INFO] PAM_RHOST enabled. Getting the peer address
Jan  3 08:42:12 srv1 pure-ftpd: (?@92.241.169.192) [INFO] PAM_RHOST enabled. Getting the peer address
Jan  3 08:42:13 srv1 pure-ftpd: (?@92.241.169.192) [WARNING] Authentication failed for user [martin]
Jan  3 08:42:14 srv1 pure-ftpd: (?@92.241.169.192) [WARNING] Authentication failed for user [martin]
Jan  3 08:42:14 srv1 pure-ftpd: (?@92.241.169.192) [WARNING] Authentication failed for user [martin]
Jan  3 08:42:14 srv1 pure-ftpd: (?@92.241.169.192) [WARNING] Authentication failed for user [martin]
Jan  3 08:42:17 srv1 pure-ftpd: (?@92.241.169.192) [INFO] Logout.
Jan  3 08:42:18 srv1 pure-ftpd: (?@92.241.169.192) [INFO] Logout.
Jan  3 08:42:19 srv1 pure-ftpd: (?@92.241.169.192) [INFO] Logout.
Jan  3 08:42:20 srv1 pure-ftpd: (?@92.241.169.192) [INFO] Logout.
Jan  3 08:44:57 srv1 pure-ftpd: (?@127.0.0.1) [INFO] New connection from 127.0.0.1
Jan  3 08:44:57 srv1 pure-ftpd: (?@127.0.0.1) [INFO] Logout.
Jan  3 08:45:01 srv1 pure-ftpd: (?@127.0.0.1) [INFO] New connection from 127.0.0.1
Jan  3 08:45:01 srv1 pure-ftpd: (?@127.0.0.1) [INFO] Logout.
Jan  3 08:45:31 srv1 pure-ftpd: (?@92.241.169.192) [INFO] New connection from 92.241.169.192
Jan  3 08:45:32 srv1 pure-ftpd: (?@92.241.169.192) [INFO] New connection from 92.241.169.192
Jan  3 08:45:32 srv1 pure-ftpd: (?@92.241.169.192) [INFO] New connection from 92.241.169.192
Jan  3 08:45:32 srv1 pure-ftpd: (?@92.241.169.192) [INFO] New connection from 92.241.169.192
Jan  3 08:45:35 srv1 pure-ftpd: (?@92.241.169.192) [INFO] PAM_RHOST enabled. Getting the peer address
Jan  3 08:45:36 srv1 pure-ftpd: (?@92.241.169.192) [INFO] PAM_RHOST enabled. Getting the peer address
Jan  3 08:45:36 srv1 pure-ftpd: (?@92.241.169.192) [INFO] PAM_RHOST enabled. Getting the peer address
Jan  3 08:45:38 srv1 pure-ftpd: (?@92.241.169.192) [WARNING] Authentication failed for user [andreas]
Jan  3 08:45:38 srv1 pure-ftpd: (?@92.241.169.192) [WARNING] Authentication failed for user [andreas]
Jan  3 08:45:38 srv1 pure-ftpd: (?@92.241.169.192) [WARNING] Authentication failed for user [andreas]
Jan  3 08:45:39 srv1 pure-ftpd: (?@92.241.169.192) [INFO] PAM_RHOST enabled. Getting the peer address
Jan  3 08:45:41 srv1 pure-ftpd: (?@92.241.169.192) [WARNING] Authentication failed for user [andreas]
Jan  3 08:45:41 srv1 pure-ftpd: (?@92.241.169.192) [INFO] Logout.
Jan  3 08:45:42 srv1 pure-ftpd: (?@92.241.169.192) [INFO] Logout.
Jan  3 08:45:43 srv1 pure-ftpd: (?@92.241.169.192) [INFO] Logout.
Jan  3 08:45:46 srv1 pure-ftpd: (?@92.241.169.192) [INFO] Logout.
Jan  3 08:47:57 srv1 pure-ftpd: (?@127.0.0.1) [INFO] New connection from 127.0.0.1
Jan  3 08:47:57 srv1 pure-ftpd: (?@127.0.0.1) [INFO] Logout.
Jan  3 08:48:32 srv1 pure-ftpd: (?@92.241.169.192) [INFO] New connection from 92.241.169.192
Jan  3 08:48:32 srv1 pure-ftpd: (?@92.241.169.192) [INFO] New connection from 92.241.169.192
Jan  3 08:48:37 srv1 pure-ftpd: (?@92.241.169.192) [INFO] New connection from 92.241.169.192
Jan  3 08:48:37 srv1 pure-ftpd: (?@92.241.169.192) [INFO] New connection from 92.241.169.192
Jan  3 08:48:38 srv1 pure-ftpd: (?@92.241.169.192) [INFO] PAM_RHOST enabled. Getting the peer address
Jan  3 08:48:38 srv1 pure-ftpd: (?@92.241.169.192) [INFO] PAM_RHOST enabled. Getting the peer address
Jan  3 08:48:40 srv1 pure-ftpd: (?@92.241.169.192) [WARNING] Authentication failed for user [sven]
Jan  3 08:48:40 srv1 pure-ftpd: (?@92.241.169.192) [WARNING] Authentication failed for user [sven]
Jan  3 08:48:42 srv1 pure-ftpd: (?@92.241.169.192) [INFO] PAM_RHOST enabled. Getting the peer address
Jan  3 08:48:42 srv1 pure-ftpd: (?@92.241.169.192) [INFO] PAM_RHOST enabled. Getting the peer address
Jan  3 08:48:44 srv1 pure-ftpd: (?@92.241.169.192) [INFO] Logout.
Jan  3 08:48:44 srv1 pure-ftpd: (?@92.241.169.192) [WARNING] Authentication failed for user [sven]
Jan  3 08:48:44 srv1 pure-ftpd: (?@92.241.169.192) [WARNING] Authentication failed for user [sven]
Jan  3 08:48:46 srv1 pure-ftpd: (?@92.241.169.192) [INFO] Logout.
Jan  3 08:48:47 srv1 pure-ftpd: (?@92.241.169.192) [INFO] Logout.
Jan  3 08:48:50 srv1 pure-ftpd: (?@92.241.169.192) [INFO] Logout.
Jan  3 08:50:01 srv1 pure-ftpd: (?@127.0.0.1) [INFO] New connection from 127.0.0.1
Jan  3 08:50:01 srv1 pure-ftpd: (?@127.0.0.1) [INFO] Logout.
Jan  3 08:50:57 srv1 pure-ftpd: (?@127.0.0.1) [INFO] New connection from 127.0.0.1
Jan  3 08:50:57 srv1 pure-ftpd: (?@127.0.0.1) [INFO] Logout.
Jan  3 08:51:36 srv1 pure-ftpd: (?@92.241.169.192) [INFO] New connection from 92.241.169.192
Jan  3 08:51:36 srv1 pure-ftpd: (?@92.241.169.192) [INFO] New connection from 92.241.169.192
Jan  3 08:51:38 srv1 pure-ftpd: (?@92.241.169.192) [INFO] New connection from 92.241.169.192
Jan  3 08:51:39 srv1 pure-ftpd: (?@92.241.169.192) [INFO] New connection from 92.241.169.192
Jan  3 08:51:39 srv1 pure-ftpd: (?@92.241.169.192) [INFO] Logout.
Jan  3 08:51:40 srv1 pure-ftpd: (?@92.241.169.192) [INFO] PAM_RHOST enabled. Getting the peer address
Jan  3 08:51:40 srv1 pure-ftpd: (?@92.241.169.192) [INFO] PAM_RHOST enabled. Getting the peer address
Jan  3 08:51:41 srv1 pure-ftpd: (?@92.241.169.192) [INFO] PAM_RHOST enabled. Getting the peer address
Jan  3 08:51:42 srv1 pure-ftpd: (?@92.241.169.192) [WARNING] Authentication failed for user [michael]
Jan  3 08:51:42 srv1 pure-ftpd: (?@92.241.169.192) [WARNING] Authentication failed for user [michael]
Jan  3 08:51:43 srv1 pure-ftpd: (?@92.241.169.192) [WARNING] Authentication failed for user [michael]
Jan  3 08:51:46 srv1 pure-ftpd: (?@92.241.169.192) [INFO] Logout.
Jan  3 08:51:47 srv1 pure-ftpd: (?@92.241.169.192) [INFO] Logout.
Jan  3 08:51:47 srv1 pure-ftpd: (?@92.241.169.192) [INFO] Logout.

Display More

Fail2ban hat folgenden Eintrag in der Firewall gemacht:
[Blocked Image: http://www.imagebanana.com/view/ctqt8t3n/firewall.png][Blocked Image: http://img5.imagebanana.com/img/ctqt8t3n/thumb/firewall.png]

Nach meinem Verständnis dürfte einen Anfrage von der IP doch gar nicht mehr zu meinem FTP durchkommen. Aber wie auch immer, sie müllt mir die Logs voll und Fail2ban macht seine Arbeit.

Die Bannzeit möchte ich auch nicht höher setzen, da auch bekannte von mir einen FTP-Zugang haben und ich sie nicht lange nach einem Falschlogin aussperren möchte.

bebbo · Jan 3rd 2011

Es genügt eine Firewall Regel und diese sollte so aussehen:

Code

INPUT tcp <quellip> alle <serverip> alle DROP

Bebbo

Pionier · Jan 3rd 2011

Das ist mir auch bekannt. Die oben gezeigten Regeln werden von Fail2ban eingetragen (vServer fail2ban Alternative).

Nur sollten die Regeln nicht greifen bevor die IP einen Dienst auf dem Server angesprochen hat?

bebbo · Jan 3rd 2011

Hm, hat Dein Server mehr als eine IP? Z.B. IPv6 und IPv4?

Dann solltest Du als Zieladresse "any" verwenden.

Bebbo

Pionier · Jan 3rd 2011

Quote from bebbo;29717

Hm, hat Dein Server mehr als eine IP? Z.B. IPv6 und IPv4?

Dann solltest Du als Zieladresse "any" verwenden.

Bebbo

Display More

Ja, ich habe IPv6 und IPv4.

Wie man auf dem Bild [Blocked Image: http://img5.imagebanana.com/img/ctqt8t3n/thumb/firewall.png] sieht, habe ich alle eingehenden Verbindungen (von IP 92.241.169.192) auf allen IP´s und allen Ports auf meinem Server gesperrt. Und das schon seit heute Morgen.

Aber die gesperrte IP kann immer noch einen Login an meinen FTP senden, der beantwortet wird.
Wie kann das sein, denn die Firewall sollte doch alle Verbindungen von dieser IP verhindern :confused:

bebbo · Jan 3rd 2011

Quote from Pionier;29721

Wie kann das sein, denn die Firewall sollte doch alle Verbindungen von dieser IP verhindern :confused:

Du meinst alle Verbindungen an die im Filter genannte IP Adresse.

Du hast vermutlich alle Verbindungen für die IPv4 Adresse gesperrt, und nicht auch für die IPv6 Adresse!?

Oder ist in dem geschwärzten Bereich auch die IPv6 Adresse?

Was steht denn im Log, wenn jemand per IPv6 darauf zugreift?

Greifen die Firewall-Regeln, wenn IPv6 verwendet wird?

Bebbo

KB19 · Jan 3rd 2011

Quote from Pionier;29721

Wie kann das sein, denn die Firewall sollte doch alle Verbindungen von dieser IP verhindern :confused:

Probiere einmal, den FTP Port anzugeben und nicht einfach all zu nehmen.

MfG Christian

Pionier · Jan 3rd 2011

Im geschwärzten Bereich sind 4x IPv4 und 1x IPv6 gesperrt.

Über IPv6 ist der Server noch nicht erreichbar, habe ich noch nicht eingerichtet.

Pionier · Jan 3rd 2011

Quote from bebbo;29722

Greifen die Firewall-Regeln, wenn IPv6 verwendet wird?

Bebbo

Habe mal getestet, nein, greift nicht. Log (IPv6 = meine Fritzbox)

Code

Jan  3 15:29:23 srv1 pure-ftpd: (?@2002_5846_ba9f_0_2d0a_4b7_6acb_23a9) [INFO] New connection from 2002_5846_ba9f_0_2d0a_4b7_6acb_23a9
Jan  3 15:29:24 srv1 pure-ftpd: (?@2002_5846_ba9f_0_2d0a_4b7_6acb_23a9) [INFO] benutzer_12 is now logged in
Jan  3 15:29:54 srv1 pure-ftpd: (?@92.241.169.192) [INFO] New connection from 92.241.169.192
Jan  3 15:29:55 srv1 pure-ftpd: (?@92.241.169.192) [INFO] New connection from 92.241.169.192
Jan  3 15:29:55 srv1 pure-ftpd: (?@92.241.169.192) [INFO] New connection from 92.241.169.192
Jan  3 15:29:55 srv1 pure-ftpd: (?@92.241.169.192) [INFO] New connection from 92.241.169.192
Jan  3 15:29:58 srv1 pure-ftpd: (?@92.241.169.192) [INFO] PAM_RHOST enabled. Getting the peer address
Jan  3 15:29:58 srv1 pure-ftpd: (?@92.241.169.192) [INFO] PAM_RHOST enabled. Getting the peer address
Jan  3 15:29:59 srv1 pure-ftpd: (?@92.241.169.192) [INFO] PAM_RHOST enabled. Getting the peer address
Jan  3 15:30:00 srv1 pure-ftpd: (?@92.241.169.192) [WARNING] Authentication failed for user [ralph]
Jan  3 15:30:01 srv1 pure-ftpd: (?@92.241.169.192) [WARNING] Authentication failed for user [ralph]
Jan  3 15:30:01 srv1 pure-ftpd: (?@127.0.0.1) [INFO] New connection from 127.0.0.1
Jan  3 15:30:01 srv1 pure-ftpd: (?@127.0.0.1) [INFO] Logout.
Jan  3 15:30:01 srv1 pure-ftpd: (?@92.241.169.192) [WARNING] Authentication failed for user [ralph]
Jan  3 15:30:04 srv1 pure-ftpd: (?@92.241.169.192) [INFO] PAM_RHOST enabled. Getting the peer address
Jan  3 15:30:06 srv1 pure-ftpd: (?@92.241.169.192) [INFO] Logout.
Jan  3 15:30:06 srv1 pure-ftpd: (?@92.241.169.192) [INFO] Logout.
Jan  3 15:30:06 srv1 pure-ftpd: (?@92.241.169.192) [INFO] Logout.
Jan  3 15:30:07 srv1 pure-ftpd: (?@92.241.169.192) [WARNING] Authentication failed for user [ralph]
Jan  3 15:30:11 srv1 pure-ftpd: (?@92.241.169.192) [INFO] Logout.
Jan  3 15:30:14 srv1 pure-ftpd: (?@127.0.0.1) [INFO] New connection from 127.0.0.1
Jan  3 15:30:14 srv1 pure-ftpd: (?@127.0.0.1) [INFO] Logout.
Jan  3 15:31:35 srv1 pure-ftpd: (benutzer_12@2002_5846_ba9f_0_2d0a_4b7_6acb_23a9) [INFO] Logout.
Jan  3 15:31:41 srv1 pure-ftpd: (?@2002_5846_ba9f_0_2d0a_4b7_6acb_23a9) [INFO] New connection from 2002_5846_ba9f_0_2d0a_4b7_6acb_23a9
Jan  3 15:31:41 srv1 pure-ftpd: (?@2002_5846_ba9f_0_2d0a_4b7_6acb_23a9) [INFO] benutzer_12 is now logged in

Display More

Quote from killerbees19;29724

Probiere einmal, den FTP Port anzugeben und nicht einfach all zu nehmen.
MfG Christian

Keine Änderung

Pionier · Jan 3rd 2011

Fragt mich bitte nicht warum, aber seit

Code

Jan  3 18:36:38 srv1 pure-ftpd: (?@92.241.169.192) [INFO] Logout.

ist es vorbei