LINUX.ORG.RU
ФорумAdmin

Снова fail2ban

 ,


0

2

В общем что, наблюдаю такую картину:

root@vesta4:/home/nommaner# cat ~/iptables.rules
# Generated by iptables-save v1.6.0 on Tue Dec  3 07:07:45 2019
*filter
:INPUT DROP [74:5200]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [655:422309]
:f2b-sshd - [0:0]
:fail2ban-FTP - [0:0]
:fail2ban-MAIL - [0:0]
:fail2ban-SSH - [0:0]
:fail2ban-VESTA - [0:0]
:vesta - [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -s 192.168.2.11/32 -j ACCEPT
-A INPUT -s 127.0.0.0/8 -j ACCEPT
-A INPUT -s 178.208.255.149/32 -p tcp -m multiport --dports 21,12000:12100 -j ACCEPT
-A INPUT -p tcp -m multiport --dports 80,443 -j ACCEPT
-A INPUT -p tcp -m multiport --dports 21,12000:12100 -j ACCEPT
-A INPUT -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 53 -j ACCEPT
-A INPUT -p tcp -m multiport --dports 25,465,587,2525 -j ACCEPT
-A INPUT -p tcp -m multiport --dports 3306,5432 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 8083 -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j fail2ban-SSH
-A INPUT -p tcp -m multiport --dports 25,465,587,2525,110,995,143,993 -j fail2ban-MAIL
-A INPUT -p tcp -m tcp --dport 8083 -j fail2ban-VESTA
-A INPUT -p tcp -m tcp --dport 21 -j fail2ban-FTP
-A f2b-sshd -j RETURN
-A fail2ban-FTP -j RETURN
-A fail2ban-MAIL -s 46.38.144.179/32 -j REJECT --reject-with icmp-port-unreachable
-A fail2ban-MAIL -s 46.38.144.202/32 -j REJECT --reject-with icmp-port-unreachable
-A fail2ban-MAIL -s 92.118.38.55/32 -j REJECT --reject-with icmp-port-unreachable
-A fail2ban-MAIL -s 46.38.144.57/32 -j REJECT --reject-with icmp-port-unreachable
-A fail2ban-MAIL -j RETURN
-A fail2ban-SSH -s 159.65.146.250/32 -j REJECT --reject-with icmp-port-unreachable
-A fail2ban-SSH -s 80.211.180.203/32 -j REJECT --reject-with icmp-port-unreachable
-A fail2ban-SSH -s 222.186.175.202/32 -j REJECT --reject-with icmp-port-unreachable
-A fail2ban-SSH -s 222.186.173.215/32 -j REJECT --reject-with icmp-port-unreachable
-A fail2ban-SSH -s 185.232.67.6/32 -j REJECT --reject-with icmp-port-unreachable
-A fail2ban-SSH -j RETURN
-A fail2ban-VESTA -j RETURN
COMMIT
# Completed on Tue Dec  3 07:07:45 2019

Цепочка fail2ban завершается словом RETURN, при политике INPUT — DROP, это приводит к тому что вообще ничего не допускается по порту, который мониторится.

Делаю так: 

root@vesta4:/home/nommaner# cat /etc/iptables.rules
# Generated by iptables-save v1.6.0 on Wed Dec  4 07:39:56 2019
*filter
:INPUT DROP [6:352]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [161:94657]
:f2b-ProFTPD - [0:0]
:f2b-sshd - [0:0]
:fail2ban-FTP - [0:0]
:fail2ban-MAIL - [0:0]
:fail2ban-SSH - [0:0]
:fail2ban-VESTA - [0:0]
:vesta - [0:0]
-A INPUT -p tcp -m tcp --dport 8083 -j fail2ban-VESTA
-A INPUT -p tcp -m tcp --dport 22 -j fail2ban-SSH
-A INPUT -p tcp -m tcp --dport 21 -j f2b-ProFTPD
-A INPUT -p tcp -m multiport --dports 22 -j f2b-sshd
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -s 192.168.2.11/32 -j ACCEPT
-A INPUT -s 127.0.0.0/8 -j ACCEPT
-A INPUT -s 178.208.255.149/32 -p tcp -m multiport --dports 21,12000:12100 -j ACCEPT
-A INPUT -p tcp -m multiport --dports 80,443 -j ACCEPT
-A INPUT -p tcp -m multiport --dports 12000:12100 -j ACCEPT
-A INPUT -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 53 -j ACCEPT
-A INPUT -p tcp -m multiport --dports 3306,5432 -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -p tcp -m multiport --dports 25,465,587,2525,110,995,143,993 -j fail2ban-MAIL
-A f2b-ProFTPD -j ACCEPT
-A f2b-sshd -j ACCEPT
-A fail2ban-FTP -j ACCEPT
-A fail2ban-SSH -j ACCEPT
-A fail2ban-VESTA -j ACCEPT
COMMIT
# Completed on Wed Dec  4 07:39:56 2019

И цепочка начинает работать как задумывалось, банит переборщиков паролей.

Но по умолчанию, после перезапуска fail2ban, оно снова встает на RETURN.

Что делать, я в растерянности, помогите.


Для f2b самому цеппочек никаких создавать не нужно. Он это делает сам. А вот 

-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
нужно обязательно. Иначе вообще нихрена работать не будет.

hbars ★★★★★
()

Мне интересно, ты давно работаешь сисадмином? Вопросы от тебя весьма новичковского характера, которые решаются беглым чтением манов по OSI/TPCIP и работе с iptables/nftables. Даже начинающий сисадмин не может этого не знать. Работа с сетью это его хлеб с маслом.

anonymous
()
Ответ на: комментарий от hbars 
root@vesta4:/home/nommaner# cat /etc/iptables.rules
# Generated by iptables-save v1.6.0 on Wed Dec  4 07:39:56 2019
*filter
:INPUT DROP [6:352]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [161:94657]
:f2b-ProFTPD - [0:0]
:f2b-sshd - [0:0]
:fail2ban-FTP - [0:0]
:fail2ban-MAIL - [0:0]
:fail2ban-SSH - [0:0]
:fail2ban-VESTA - [0:0]
:vesta - [0:0]
-A INPUT -p tcp -m tcp --dport 8083 -j fail2ban-VESTA
-A INPUT -p tcp -m tcp --dport 22 -j fail2ban-SSH
-A INPUT -p tcp -m tcp --dport 21 -j f2b-ProFTPD
-A INPUT -p tcp -m multiport --dports 22 -j f2b-sshd
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -s 192.168.2.11/32 -j ACCEPT
-A INPUT -s 127.0.0.0/8 -j ACCEPT
-A INPUT -s 178.208.255.149/32 -j ACCEPT
-A INPUT -p tcp -m multiport --dports 80,443 -j ACCEPT
-A INPUT -p tcp -m multiport --dports 12000:12100 -j ACCEPT
-A INPUT -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 53 -j ACCEPT
-A INPUT -p tcp -m multiport --dports 3306,5432 -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -p tcp -m multiport --dports 25,465,587,2525,110,995,143,993 -j ACCEPT
-A f2b-ProFTPD -j ACCEPT
-A f2b-sshd -j ACCEPT
-A fail2ban-FTP -j ACCEPT
-A fail2ban-SSH -j ACCEPT
-A fail2ban-VESTA -j ACCEPT
COMMIT
# Completed on Wed Dec  4 07:39:56 2019

Сейчас моя таблица выглядит так, но если я перезапущу fail2ban, цепочки fail2ban будут завершаться не ACCEPT а RETURN, как это исправить?

Shulman
() автор топика
Ответ на: комментарий от Shulman

ОК, тогда что мне изменить в схеме чтобы это начало работать правильно?

Как ЛУЧШЕ поступить?

Правильно настроить правила f2b. Покажи хотя-бу для почты для начала.

hbars ★★★★★
()
Ответ на: комментарий от hbars

Не для почты не покажу, давай лучше proftpd

Да оно работает, в целом что к чему…

В общем правила f2b встают в начала INPUT, после чего если адреса не нашлось в цепочке происходит RETURN, это я так понимаю выход из цепочки, так?

Потом мы акцептим что хотим акцептить и остальное отбрасываем?

Shulman
() автор топика
Ответ на: комментарий от Shulman

Ну ты интересный. Покажи как ты там порты прописал. Все нужно вытягивать...

hbars ★★★★★
()
Ответ на: комментарий от Shulman

Не для почты не покажу, давай лучше proftpd

Да оно работает, в целом что к чему…

В общем правила f2b встают в начала INPUT, после чего если адреса не нашлось в цепочке происходит RETURN, это я так понимаю выход из цепочки, так?

Все верно.


Потом мы акцептим что хотим акцептить и остальное отбрасываем?

Да. Дальше уже отрабатывают твои правила.

hbars ★★★★★
()
Ответ на: комментарий от Shulman

Жесть! Для этих целей ipset нужно использовать.

В f2b есть готовые action

Вообще для ssh лучше port knocking использовать.

vel ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Admin