Fail2Ban / iptables sperren nicht

GemeinerPinguin · Nov 4th 2016

Hallo,

Ich habe einen KVM Root-Server hier und habe schon einiges probiert um Fail2Ban zum Laufen zu bekommen. Auf meinem Server läuft Debian Wheezy. Fail2Ban ist eingerichtet, jedoch werden die IPs nach einer gewissen Anzahl nicht gesperrt. Im Fail2Ban Log wird zwar schön mitprotokolliert, dass eine IP gesperrt wurde (bzw. dass eine IP bereits gesperrt ist), jedoch passiert nichts weiter.

iptables -L zeigt mir, dass die IP (die gesperrt werden sollte) auch schön dort eingetragen wurde:

Code

Chain INPUT (policy ACCEPT)
target prot opt source destination
fail2ban-dovecot tcp -- anywhere anywhere multiport dports smtp,ssmtp,imap2,imap3,imaps,pop3,pop3s
fail2ban-postfix tcp -- anywhere anywhere multiport dports smtp,ssmtp
fail2ban-apache tcp -- anywhere anywhere multiport dports http,https
fail2ban-ssh tcp -- anywhere anywhere multiport dports ssh
ACCEPT tcp -- anywhere anywhere tcp dpt:6616
ACCEPT tcp -- anywhere anywhere tcp spt:6616
DROP tcp -- anywhere anywhere tcp spt:ssh
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
Chain fail2ban-apache (1 references)
target prot opt source destination
RETURN all -- anywhere anywhere
Chain fail2ban-dovecot (1 references)
target prot opt source destination
RETURN all -- anywhere anywhere
Chain fail2ban-postfix (1 references)
target prot opt source destination
RETURN all -- anywhere anywhere
Chain fail2ban-ssh (1 references)
target prot opt source destination
DROP all -- 77.119.251.238.static.drei.at anywhere
RETURN all -- anywhere anywhere
root@taurus:/etc/fail2ban# nano /var/log/fail2ban.log
root@taurus:/etc/fail2ban# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
fail2ban-dovecot tcp -- anywhere anywhere multiport dports smtp,ssmtp,imap2,imap3,imaps,pop3,pop3s
fail2ban-postfix tcp -- anywhere anywhere multiport dports smtp,ssmtp
fail2ban-apache tcp -- anywhere anywhere multiport dports http,https
fail2ban-ssh tcp -- anywhere anywhere multiport dports ssh
ACCEPT tcp -- anywhere anywhere tcp dpt:6616
ACCEPT tcp -- anywhere anywhere tcp spt:6616
DROP tcp -- anywhere anywhere tcp spt:ssh
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
Chain fail2ban-apache (1 references)
target prot opt source destination
RETURN all -- anywhere anywhere
Chain fail2ban-dovecot (1 references)
target prot opt source destination
RETURN all -- anywhere anywhere
Chain fail2ban-postfix (1 references)
target prot opt source destination
RETURN all -- anywhere anywhere
Chain fail2ban-ssh (1 references)
target prot opt source destination
DROP all -- XXXXXXX.static.blah.blah.at anywhere
RETURN all -- anywhere anywhere

Display More

Hat jemand eine Idee warum das so ist? Was muss ich noch ändern? Ich habe mir die Actions von Fail2Ban angeschaut und dort wird auch schön der Parameter -I verwendet, damit dieser priorisiert wird.

oliver.g · Nov 4th 2016

Hallo GemeinerPinguin,

GemeinerPinguin wrote:

Im Fail2Ban Log wird zwar schön mitprotokolliert, dass eine IP gesperrt wurde (bzw. dass eine IP bereits gesperrt ist), jedoch passiert nichts weiter.

Was soll denn weiter passieren? Der Client sollte, wenn der DROP-EIntrag in der fail2ban-ssh chain angelegt ist, keinen Zugriff über SSH mehr auf deinen Server bekommen, da alle Pakete, die von diesem Client auf den Port 22 kommen gedropt werden.
Meinst du, dass der Client sich trotz des Eintrags noch per SSH verbinden kann? Oder was ist genau das Problem?

Gruß Oli

GemeinerPinguin · Nov 6th 2016

Hallo!

Danke für deine Antwort. Richtig, ich meine damit, dass sich die vermeintlich gesperrte IP noch immer verbinden kann.

killerbees19 · Nov 6th 2016

Wohin? Zu dem jeweiligen Port (z.B. SSH) oder generell zum Server? Zu einem anderen Dienst wäre wenig wunderlich, wenn Du Dir die Regeln einmal ansiehst. Wer z.B. für SSH gesperrt wird, kann immer noch auf Dovecot, Postfix und Apache zugreifen.

Falls das damit nicht gemeint war, schau einmal wo der Zähler ganz links hochgeht, welche Regeln also definitiv greifen: iptables -n -v --list

MfG Christian

GemeinerPinguin · Nov 6th 2016

Man kann sich auch zum selben Dienst / Port weiterhin verbinden. Das gibt iptables -n -v --list aus. Habe mich testweise selber sperren wollen. Meine IP Adresse ist beim Dienst SSH brav drinnen. Jedoch kann ich mich weiterhin per SSH verbinden.

Code

Chain INPUT (policy ACCEPT 246 packets, 52702 bytes)
pkts bytes target prot opt in out source destination
207K 16M fail2ban-dovecot tcp -- * * 0.0.0.0/0 0.0.0.0/0 multiport dports 25,465,143,220,993,110,995
129K 6808K fail2ban-postfix tcp -- * * 0.0.0.0/0 0.0.0.0/0 multiport dports 25,465
238K 22M fail2ban-apache tcp -- * * 0.0.0.0/0 0.0.0.0/0 multiport dports 80,443
110 5296 fail2ban-ssh tcp -- * * 0.0.0.0/0 0.0.0.0/0 multiport dports 22
38192 3024K ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:6616
212 18443 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp spt:6616
651 30072 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp spt:22
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
Chain OUTPUT (policy ACCEPT 189 packets, 44358 bytes)
pkts bytes target prot opt in out source destination
Chain fail2ban-apache (1 references)
pkts bytes target prot opt in out source destination
238K 22M RETURN all -- * * 0.0.0.0/0 0.0.0.0/0
Chain fail2ban-dovecot (1 references)
pkts bytes target prot opt in out source destination
207K 16M RETURN all -- * * 0.0.0.0/0 0.0.0.0/0
Chain fail2ban-postfix (1 references)
pkts bytes target prot opt in out source destination
129K 6808K RETURN all -- * * 0.0.0.0/0 0.0.0.0/0
Chain fail2ban-ssh (1 references)
pkts bytes target prot opt in out source destination
0 0 DROP all -- * * 1XX.XXX.90.XXX 0.0.0.0/0
110 5296 RETURN all -- * * 0.0.0.0/0 0.0.0.0/0

Display More

killerbees19 · Nov 6th 2016

Und SSH läuft auch auf Port 22 und nicht woanders?

1XX.XXX.90.XXX ist wahrscheinlich Deine IP-Adresse?

MfG Christian

GemeinerPinguin · Nov 6th 2016

Um die "Random-Hacks" zu umgehen habe ich den SSH Port auf einen anderen Port gelegt. Das sollte Fail2Ban aber doch egal sein, da in der iptables-multport.conf als Port sowieso port = ssh angegeben ist. Die manuelle Änderung auf meinen Port in Zahlen hat aber auch keine Änderung gebracht.

Wird auch hier gesagt, dass der Port egal ist: In Fail2Ban, How to Change the SSH port number? - Server Fault (gerade gefunden)

EDIT 2: Habe die config jetzt so geändert, dass dann alle Ports für die IP Adresse gesperrt werden. Das funktioniert. Kann damit leben.

killerbees19 · Nov 6th 2016

Wenn der Port geändert wird, kann es natürlich nicht klappen, siehe Ausgabe von oben mit dem -n Parameter:

Code

multiport dports 22

Ports werden bei iptables u.ä. Diensten durch fixe Listen (anhand der offiziellen Portnummern) repräsentiert, wenn Namen statt Nummern genutzt werden. Siehe: /etc/services (und Nein, in dieser Datei sollte man nichts ändern!)

Wie fail2ban diese Regel anders erstellen könnte, ohne alle Ports gleichzeitig zu sperren, weiß ich nicht. Ich nutze diese Software nicht.

MfG Christian

GemeinerPinguin · Nov 6th 2016

Stimmt. Das hab ich komplett übersehen mein Wiener-Kollege. Dann ist die Info bei StackOverFlow von diesem User wohl auch falsch.

Mit allports ist es mir sowieso lieber. Danke jedenfalls für deine Hilfe.

Users Online