LINUX.ORG.RU
ФорумAdmin

Настройка белого списка Fail2ban

 


0

1

Здравствуйте! Сразу дам ясность что я только начал осваивать систему Линукс, поетому много чего еще не знаю, но готов учится. Настроен fail2ban для защиты ssh от подбора паролей. Компьютер, к котором нужно связатся виден по порту по принципу переадресации маршрутизатором (статический ip). Суть проблемы вот в чем, если кто то ломится через интернет, блок идет на статический ip а не ip того кто хочет подобрать пароль. И тогда само собой никто больше не может соединится по ssh так как он в бане. Что можно пошаманить чтобы не блокировался статический ip ?

Так он блокирует при неудачных попытках подобрать пароль и их количестве. Все задается в конфиге. Зачем белый список? Просто не ошибайся при вводе пароля :)

Gonzo ★★★★★ ()

Так, падажжи. У тебя комп с fail2ban за роутером, на роутере проброшен порт ssh, и когда fail2ban срабатывает, в бан попадает IP роутера (твой)?

gasinvein ★★★ ()
Ответ на: комментарий от vladimirplakhot

Предположу, что роутер делает SNAT при перенаправлении пакета из интернета в локалку - так не должно быть.
В любом случае на уровне компа с fail2ban ты это не исправишь.

gasinvein ★★★ ()
Последнее исправление: gasinvein (всего исправлений: 2)
Ответ на: комментарий от gasinvein

Я так и думал, тогда придется прошить роутер на прошивку от dd-wrt и играться с настройками.

vladimirplakhot ()
Ответ на: комментарий от vladimirplakhot

А, ну ок. Давно ковырялся в fail2ban просто, ставил еще когда сидел голым задом в инет без роутера. Мне казалось, там нельзя задать нестандартный порт SSH.

Тогда вот глянь.

Gonzo ★★★★★ ()
Ответ на: комментарий от gasinvein

Поддержу. У самого ssh за роутером, и в fail2ban регулярно валятся всякие китайцы, IP самого роутера в логах ssh не всплывает никогда.

legolegs ★★★★★ ()
Последнее исправление: legolegs (всего исправлений: 1)
Ответ на: комментарий от gasinvein

Предположу, что роутер делает SNAT при перенаправлении пакета из интернета в локалку - так не должно быть.

Достаточно не хилое извращение (snat пакета на адрес внешнего интерфейса отправляемый dnat на внутренний ip в локалке). И не понятно зачем оно вообще нужно. Сдается мне если это и так, ТС даже гуйню своего роутера не осилил. Так «потыкал куда-то мышкой» и оно стало так.

anc ★★★★★ ()

У вас проблема не в «я только начал осваивать систему Линукс» и не в «поетому», а в том что даже приблизительно не понимаете как оно работает. OS тут большой роли не играет. Начинайте с основ, читайте книги, документацию.

anc ★★★★★ ()
Ответ на: комментарий от vladimirplakhot

Вот не поверите. «А я путаюсь в гуйне» кто там такое придумал хз, каждый раз что-то новое. В отличии от cli

anc ★★★★★ ()
Ответ на: комментарий от anc

Достаточно не хилое извращение

Ну а как ещё объяснить то, что пакеты из интернета на компы за роутером приходят с IP роутера?

gasinvein ★★★ ()
Ответ на: комментарий от Anoxemian

Установил на посмотреть. Вижу только это в конфиге:

[ssh]

enabled  = true
port     = ssh
filter   = sshd
logpath  = /var/log/auth.log
maxretry = 3

Надо менять значение port или оно каким-то образом смотрит на мой sshd_config?

Gonzo ★★★★★ ()
Ответ на: комментарий от gasinvein

Ну «собсто» я о том же. В гуйне и не такое можно сделать. В первую очередь не понимая зачем. А во вторую, гуйня - такая гуйня, что сам не поймешь что за тебя сделали (пацаки радуйтесь).
Привет dlink-ку когда-то мне пришлось в срочном порядке «иметься» с поднятием одного из тунелей ipsec на нем. Очень «увлекательно» получилось. Спасибо логам ракуна на другой стороне. Без них бы не справился в такой короткий срок.

anc ★★★★★ ()
Последнее исправление: anc (всего исправлений: 1)
Ответ на: комментарий от anc

гуйне и не такое можно сделать

Это ж на каком SOHO-роутере из гуйни можно можно самому произвольный (не из lan в wan) NAT сделать?
Сдаётся мне, это просто прошивка такая, что из менюшки «проброс портов» добавляет не со всем такие правила фаеровола, каких можно было бы ожидать.

gasinvein ★★★ ()
Ответ на: комментарий от anc

И не понятно зачем оно вообще нужно.

Ну зачем нужно как раз понятно. Если вы будете из другого компа локалки ходить на внешний адрес, то чтобы соединение установилось, а не пошли пакеты между двумя компами локалки, надо ещё и SNAT. Вопрос в том, есть ли в гуе эта галочка для отключения такого поведения.

vodz ★★★★★ ()
Ответ на: комментарий от gasinvein

Ничё не понял, кто куда идёт?

Плохо, чо.

Нарисуйте схему: два компа в локалке плюс рутер. Один из компов не догадывается, что при коннекте на внешний адрес рутера происходит dnat к соседнему компу локалки и если на рутере не делать snat, то возвратные пакеты между компами локалки будут ходить непосредственно по локалке минуя рутер и соединения не будет, так как они не будут соответствовать прямым пакетам.

vodz ★★★★★ ()
Последнее исправление: vodz (всего исправлений: 1)
Ответ на: комментарий от vodz

Вопрос в том, есть ли в гуе эта галочка для отключения такого поведения.

Думаете что оно уже по умолчанию стало? Без отключения? Ну конечно всяко возможно... и возможно я не прав был.

anc ★★★★★ ()
Ответ на: комментарий от anc

Думаете что оно уже по умолчанию стало? Без отключения? Ну конечно всяко возможно.

В софте ТСа? Похоже на то. Вряд ли он руками это делал. Так, например, в TurtleFirewall именно каждое dnat сопровождается SNAT/MASQURADE без отключения второго.

и возможно я не прав был.

Не стоит, я, вот, не понял, что спорили.

vodz ★★★★★ ()
Ответ на: комментарий от vodz

Так, например, в TurtleFirewall именно каждое dnat сопровождается SNAT/MASQURADE без отключения второго.

Ну что же, значит «я не прав был» и одновременно «прав». Черт знает до чего доводят всякие SOHO. И получаеться ТС прав в посте о перешивки роутера. Что же, ТС удачи.

anc ★★★★★ ()
Ответ на: комментарий от vodz

Ты имеешь в виду snat для каких пакетов? Уходящих из локалки в интернет?
Я - для тех, которые идут из интернета в локалку, не «возвратные», а новые соединения снаружи на порт, который «проброшен» внутрь.

gasinvein ★★★ ()
Ответ на: комментарий от gasinvein

Ты имеешь в виду snat для каких пакетов? Уходящих из локалки в интернет?

Это, как правило, происходит на обратные пакеты от рутера с dnat — автоматом и так же автоматом подразумевается.

Я - для тех, которые идут из интернета в локалку,

И что что ты «имеешь в виду»? Я (и не Вам) рассказывал один из примеров почему это может понадобиться вообще. Может ещё и когда у другого компа шлюз в Инет другой. Тогда тоже не будет автоматического snat.

vodz ★★★★★ ()
Ответ на: комментарий от vodz

Это же домашний роутер. Какой другой шлюз? Они возможность наличия другого dhcp сервера-то обычно не предусматривают.

gasinvein ★★★ ()
Ответ на: комментарий от Gonzo

Написано же port = ssh (см. /etc/services), если надо другой - прописываешь руками, а так будет использовать 22.

micronekodesu ★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.