iptabels und fail2ban logs komisch

  • guten morgen,
    ich habe eine frage, da ich seit tagen mit ssh login versuchen generft werde habe ich beschlossen, die Netze der Angreifer zu sperren. Ich habe also meine Firewal erweiteret sie sieht aktuell so aus.


    Allerdings sehe ich im Logfile von fail2ban immer wieder einträge wie den folgenden.


    Code
    2015-05-24 23:00:54,156 fail2ban.actions: WARNING [ssh] Ban 222.186.160.20
    2015-05-25 09:38:58,480 fail2ban.actions: WARNING [ssh] Ban 112.74.80.113


    kann mir jemand erklären wie dies möglich ist ? Sollte nicht schon die Firewall diese login versuche abfangen?


    mfg LFS96

  • Wieso sollte die Firewall die Versuche abfangen? Die Netze von deinen beiden zuletzt aufgeführten IPs (fail2ban.actions) sind doch noch frei!?!


    Z.B. mit 222.186.21.0/24 wird 222.186.21.0 ~ 222.186.21.255 bearbeitet. Da ist 222.186.160.20 nicht mit drin.

    9 von 10 Stimmen in meinem Kopf sagen ich bin nicht verrückt, die letzte summt ständig die Melodie von Tetris.

  • Hallo,


    die pakete fallen von oben nach unten durch die regeln.


    da du in zeile 14 port 2222 acceptest, kommen die angreiferpakete nie zur drop regel.


    mach am besten eine neue chain, welche du direkt als erste regel in die input chain hängst.


    in diese "quarantäne"-chain kannst du dann alle zu blockenden CIDR-ips schreiben

  • ok /24 ist mir auch gerade aufgefallen ich habe es mal durch /8 ersetzt, dass ist wohl was ich meinte

    da du in zeile 14 port 2222 acceptest, kommen die angreiferpakete nie zur drop regel.

    ahh, ok danke da habe ich wohl die Anleitung meines Berufschullehrers missverstanden.


    ich habe die scripts die, die Firewall einrichten getauscht in der reinfolge. jetzt sollte es klappten , danke noch mal