Klasse das es bei Dir nun auch geht.
Wo hatte es denn gehapert? (Im IRC war ich ja mit der Frage eben zu langsam...)
Fail2Ban Script für die VCP API
- perryflynn
- Erledigt
-
-
Ups. Das ist mir jetzt aber peinlich!
Hatte vergessen die jail.conf zu editieren!Leider gibt es noch keine Bedank-Funktion im Forum
-
Ah okay.
-
Habe im ersten Beitrag eine Einrichtungsanleitung hinzugefügt.
Hoffe das hilft einigen. -
Sehr schön geschrieben, gutes Script, Thema angepinnt ;)
-
Klasse Anleitung! - So hätte sogar ich das kapiert
-
Moin,
funktioniert soweit...
DankeHab aber mal ne Frage zur jail.conf... kann ich überall banaction = iptables-multiport setzen?! oder klappt das nur bei SSH?!?
und wie sieht es aus, kann man irgend wie eine iprange.conf erstellen in dem man einfach IP Ranges eingibt die man generell gespert haben möchte? Hab von 12 Ländern die möglichen IP Ranges, und die möchte ich alle gesperrt wissen, und bestimmten IP Ranges möchte ich nur den Zugriff auf den PORT 80 genehmigen. Geht sowas?
MfG
-
Das Script kannst du mit allen Diensten nutzen, das ist egal.
IP Ranges gehen nicht. Da müsste ich mal schauen ob das über die API überhaupt geht. -
Hallo sim,
ich habe mir einmal die Idee angesehen mit der Auslagerung der Konfiguration, da ich soetwas immer viel praktischer finde...
und habe in der Konsole immer einen Hinweis vom php bekommen, dass die default Zeitzone nicht gesetzt ist...CodePHP Warning: date(): It is not safe to rely on the system's timezone settings. You are *required* to use the date.timezone setting or the date_default_timezone_set() function. In case you used any of those methods and you are still getting this warning, you most likely misspelled the timezone identifier. We selected 'Europe/Berlin' for 'CEST/2.0/DST' instead in /opt/fail2ban/nc_vcp_firewallapi.php on line 92 Firewall rule added.
habe daher einmal dein Script um eine Zeile erweitert, vielleicht magst es ja zukünftig übernehmen...
Auszug der nc_vcp_settings.php:
PHP
Alles anzeigen<?php /** // (c) by Christian Blechert (http://anwendungsentwickler.ws) // Created: 2012-04-24 // Last update: 2012-04-24 // License: http://creativecommons.org/licenses/by/3.0/ External Configuration for Netcup Firewall API Script */ //--> define default timezone date_default_timezone_set('Europe/Berlin'); //--> enable/disable debug output define("DEBUG_OUTPUT", true); .........
[edit]
achja noch eines...
in deiner Anleitung ist dir meines Erachtens nach ein schreibfehler unterlaufen..
müsste der Befehl
nicht
lauten?liebe Grüße Steffen
-
habe in der Konsole immer einen Hinweis vom php bekommen, dass die default Zeitzone nicht gesetzt ist...
Das ist kein Problem des Scripts, sondern eines deiner Standard php.ini in aktuellen PHP Versionen von Debian. Trage es direkt dort ein und du siehst den Fehler nie wiederMfG Christian
-
Jop, das hat nichts in meinem Script zu suchen, da muss der Server Admin ran.
-
Hi das stimmt schon aber diese Eine Zeile macht ja den Braten auch nicht dick wollte es ja nur vorschlagen
aber einmal eine andere Frage:
ist es möglich die jail.conf zu splitten in 2 Dateien z.B. die jail.conf mit den Default-Einstellungen etc und eine 2te wo dann alles einzeln eingestellt wird (apache, ssh etc)
denn ich würde das ganz praktisch finden vorallem bei größeren Ansammlungen von einstellungen nur googlewar ich erfolglos und include meckert er immer mit der syntax
Es muss doch eine Möglichkeit geben oder?
Wenn ja wäre es nett eine Beispiel-Zeile zu posten danke...Liebe Grüße Steffen
-
Auf jeden Fall cool das bei Dir jetzt auch alles geht.
Ne Idee wegen Config Include habe ich nicht. In der Manual hab ich auf die Schnelle auch nichts gefunden. -
Auf jeden Fall cool das bei Dir jetzt auch alles geht.
Ne Idee wegen Config Include habe ich nicht. In der Manual hab ich auf die Schnelle auch nichts gefunden.Ist ja kein Problem geht auch so wäre eben nur ein nice2have gewesen
Ja und das es nun auch bei mir geht freut mich auch sehr war ja nur sehr knapp angebunden in letzter Zeit
Es lag letztendlich wirklich an der Regex für die apache-nohome.confCodefailregex = [[]client <HOST>[]] File does not exist: .*/~.* \[error\] \[client <HOST>\] File does not exist.*
also dann danke für die Hilfe und für das super script
lg Steffen
-
Das Script funktioniert bei mir ebenfalls auf Anhieb einwandfrei, allerdings bin ich auch in die Falle mit STATE = ESTABLISHED bzw. RELATED bei den bereits vorhandenen Regeln getappt.
Ich habe bei mir das Script in der Funktion action_add so ergänzt, dass jetzt neue Regeln mit STATE = NEW, ESTABLISHED, RELATED eingefügt werden.
Komplett sieht das Ganze dann so aus:
Code
Alles anzeigen//--> Add rule function action_add($chain, $sourceip, $target) { global $vcp; $rule = array( 'direction' => $chain, 'proto' => "any", 'srcIP' => $sourceip, 'target' => $target, 'match' => 'STATE', 'matchValue' => 'NEW,ESTABLISHED,RELATED', 'comment' => 'Added by Fail2Ban at '.date("Y-m-d H:i:s").' from Host '.php_uname('n') ); . . . .
-
Kleine Frage:
Ich richte gerade mein (wiedermal..) frisch installiertes Debian 6 nach einem Tutorial mit ISPConfig 3 ein.
Dort hat es auch ein optionalen Teil mit Fail2Ban, denn ich natürlich nun einsetzen will.Dort hat es dann folgendes:
(Die Datei heisst jail.local)Code[dovecot-pop3imap] enabled = true filter = dovecot-pop3imap action = iptables-multiport[name=dovecot-pop3imap, port="pop3,pop3s,imap,imaps", protocol=tcp] logpath = /var/log/mail.log maxretry = 5
Ich bin nun wegen dem "action ="-Eintrag verwirrt.
Muss ich da etwas anpassen oder passt das so damit auch Angriffe auf Dovecot angefangen werden.Wäre froh um eine Antwort
-
Hey,
wenn Du die Hauptkonfiguration von iptables-multiport angepasst hast, SOLLTE das gehen.Aber ich kenn die Syntax die IspConfig da nutzt auch nicht.
Musste einfach mal ausprobieren. -
Also ich hab sie nach deiner Beispiel-Conf verändert, dann sollte also alles gehen?
-
Keine Ahnung.
Probiers einfach aus. -
Danke sim,
Das Script funktioniert echt Super.