Fail2Ban / iptables sperren nicht

  • Hallo,


    Ich habe einen KVM Root-Server hier und habe schon einiges probiert um Fail2Ban zum Laufen zu bekommen. Auf meinem Server läuft Debian Wheezy. Fail2Ban ist eingerichtet, jedoch werden die IPs nach einer gewissen Anzahl nicht gesperrt. Im Fail2Ban Log wird zwar schön mitprotokolliert, dass eine IP gesperrt wurde (bzw. dass eine IP bereits gesperrt ist), jedoch passiert nichts weiter.


    iptables -L zeigt mir, dass die IP (die gesperrt werden sollte) auch schön dort eingetragen wurde:



    Hat jemand eine Idee warum das so ist? Was muss ich noch ändern? Ich habe mir die Actions von Fail2Ban angeschaut und dort wird auch schön der Parameter -I verwendet, damit dieser priorisiert wird.

  • Hallo GemeinerPinguin,


    Im Fail2Ban Log wird zwar schön mitprotokolliert, dass eine IP gesperrt wurde (bzw. dass eine IP bereits gesperrt ist), jedoch passiert nichts weiter.


    Was soll denn weiter passieren? Der Client sollte, wenn der DROP-EIntrag in der fail2ban-ssh chain angelegt ist, keinen Zugriff über SSH mehr auf deinen Server bekommen, da alle Pakete, die von diesem Client auf den Port 22 kommen gedropt werden.
    Meinst du, dass der Client sich trotz des Eintrags noch per SSH verbinden kann? Oder was ist genau das Problem?


    Gruß Oli

  • Wohin? Zu dem jeweiligen Port (z.B. SSH) oder generell zum Server? Zu einem anderen Dienst wäre wenig wunderlich, wenn Du Dir die Regeln einmal ansiehst. Wer z.B. für SSH gesperrt wird, kann immer noch auf Dovecot, Postfix und Apache zugreifen.


    Falls das damit nicht gemeint war, schau einmal wo der Zähler ganz links hochgeht, welche Regeln also definitiv greifen: iptables -n -v --list



    MfG Christian

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

  • Man kann sich auch zum selben Dienst / Port weiterhin verbinden. Das gibt iptables -n -v --list aus. Habe mich testweise selber sperren wollen. Meine IP Adresse ist beim Dienst SSH brav drinnen. Jedoch kann ich mich weiterhin per SSH verbinden.


  • Und SSH läuft auch auf Port 22 und nicht woanders?


    1XX.XXX.90.XXX ist wahrscheinlich Deine IP-Adresse?



    MfG Christian

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

  • Um die "Random-Hacks" zu umgehen habe ich den SSH Port auf einen anderen Port gelegt. Das sollte Fail2Ban aber doch egal sein, da in der iptables-multport.conf als Port sowieso port = ssh angegeben ist. Die manuelle Änderung auf meinen Port in Zahlen hat aber auch keine Änderung gebracht.


    Wird auch hier gesagt, dass der Port egal ist: In Fail2Ban, How to Change the SSH port number? - Server Fault (gerade gefunden)


    EDIT 2: Habe die config jetzt so geändert, dass dann alle Ports für die IP Adresse gesperrt werden. Das funktioniert. Kann damit leben. :)

  • Wenn der Port geändert wird, kann es natürlich nicht klappen, siehe Ausgabe von oben mit dem -n Parameter:

    Code
    multiport dports 22


    Ports werden bei iptables u.ä. Diensten durch fixe Listen (anhand der offiziellen Portnummern) repräsentiert, wenn Namen statt Nummern genutzt werden. Siehe: /etc/services ;) (und Nein, in dieser Datei sollte man nichts ändern!)


    Wie fail2ban diese Regel anders erstellen könnte, ohne alle Ports gleichzeitig zu sperren, weiß ich nicht. Ich nutze diese Software nicht.



    MfG Christian

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)