înregistrare Logare
Puncte:0
avatar Server

Fail2Ban interzice adresele care TREBUIE deja interzise

drapel in
George Griffin

Rulez regula implicită fail2ban ssh-auth pentru a interzice ip-urile cu 3 sau mai multe încercări de autentificare eșuate într-o fereastră. Cu toate acestea, am observat că o anumită rețea este sursa unei cantități disproporționate de trafic abuziv, așa că am decis să renunț complet la tot traficul de la ei pentru a primi mai puține alerte și pentru a îmbunătăți raportul semnal-zgomot. În acest scop, am adăugat următoarele reguli IPTABLES:

-A INPUT -s 107.189.0.0/19 -m comentariu --comentare „PONYNET-11 / FranTech Solutions (SYNDI-5)” -j DROP
-A INPUT -s 209.141.32.0/19 -m comentariu --comentare „PONYNET-04 / FranTech Solutions (SYNDI-5)” -j DROP
-A INPUT -s 205.185.112.0/20 -m comentariu --comentare „PONYNET-03 / FranTech Solutions (SYNDI-5)” -j DROP

Cu toate acestea, încă primesc MULTE alerte zilnic de la fail2ban care mă informează că are adrese interzise din rețeaua de mai sus. Nu pot pentru viața mea să înțeleg de ce ar putea fi asta; deoarece m-aș aștepta să văd interdicții care se întâmplă doar adreselor care pot contacta efectiv serverul meu. De ce se întâmplă asta?

Mai jos este întregul lanț de reguli iptables, cu unele blocuri eliminate pentru confidențialitate

-P CĂDERARE INTRARE
-P PĂDURA ÎNTÂMPRE
-P ACCEPT IEȘIRE
-N f2b-sshd
-N f2b-wordpress-hard
-N ufw-după-înainte
-N ufw-după-intrare
-N ufw-după-logging-forward
-N ufw-după-înregistrare-intrare
-N ufw-după-înregistrare-ieșire
-N ufw-după-ieșire
-N ufw-înainte-înainte
-N ufw-înainte de intrare
-N ufw-înainte-înainte-înregistrare
-N ufw-înainte-înregistrare-intrare
-N ufw-înainte-înregistrare-ieșire
-N ufw-înainte de ieșire
-N ufw-logging-permit
-N ufw-logging-nega
-N ufw-nu-local
-N ufw-respinge-înainte
-N ufw-reject-input
-N ufw-respingere-ieșire
-N ufw-sări-la-politică-înainte
-N ufw-săriți-la-input-politică
-N ufw-săriți-la-ieșire-politică
-N ufw-track-forward
-N ufw-track-input
-N ufw-track-output
-N ufw-utilizator-înainte
-N ufw-user-input
-N ufw-user-limit
-N ufw-user-limit-accept
-N ufw-utilizator-logging-forward
-N ufw-user-logging-input
-N ufw-user-logging-output
-N ufw-user-output
-A INTRARE -p tcp -m multiport --dports 80.443 -j f2b-wordpress-hard
-A INTRARE -p tcp -m multiport --dports 22 -j f2b-sshd
-A INPUT -j ufw-înainte-înregistrare-intrare
-A INPUT -j ufw-înainte de intrare
-A INPUT -j ufw-după-intrare
-A INPUT -j ufw-după-înregistrare-intrare
-A INPUT -j ufw-reject-input
-A INPUT -j ufw-track-input
-A INPUT -s 107.189.0.0/19 -m comentariu --comentare „PONYNET-11 / FranTech Solutions (SYNDI-5)” -j DROP
-A INPUT -s 209.141.32.0/19 -m comentariu --comentare „PONYNET-04 / FranTech Solutions (SYNDI-5)” -j DROP
-A INPUT -s 205.185.112.0/20 -m comentariu --comentare „PONYNET-03 / FranTech Solutions (SYNDI-5)” -j DROP
-A FORWARD -j ufw-înainte-înainte de logare
-A ÎNAINTE -j ufw-înainte-înainte
-A ÎNTÂNTĂRĂ -j ufw-după-înainte
-A FORWARD -j ufw-după-logging-forward
-A ÎNAINTE -j ufw-respinge-înainte
-A FORWARD -j ufw-track-forward
-A IEȘIRE -j ufw-înainte-înregistrare-ieșire
-A IEȘIRE -j ufw-înainte-ieșire
-A IEȘIRE -j ufw-după-ieșire
-A IEȘIRE -j ufw-după-înregistrare-ieșire
-A IEȘIRE -j ufw-reject-output
-A OUTPUT -j ufw-track-output
[... un număr de ip-uri respinse...]
-A f2b-sshd -j RETURN
-A f2b-wordpress-hard -j RETURN
-A ufw-after-input -p udp -m udp --dport 137 -j ufw-skip-to-policy-input
-A ufw-după-input -p udp -m udp --dport 138 -j ufw-skip-to-policy-input
-A ufw-după-input -p tcp -m tcp --dport 139 -j ufw-skip-to-policy-input
-A ufw-după-input -p tcp -m tcp --dport 445 -j ufw-skip-to-policy-input
-A ufw-after-input -p udp -m udp --dport 67 -j ufw-skip-to-policy-input
-A ufw-after-input -p udp -m udp --dport 68 -j ufw-skip-to-policy-input
-A ufw-after-input -m addrtype --dst-type BROADCAST -j ufw-skip-to-policy-input
-A ufw-după-logging-forward -m limit --limit 3/min --limit-burst 10 -j LOG --log-prefix „[UFW BLOCK]”
-A ufw-după-logging-input -m limit --limit 3/min --limit-burst 10 -j LOG --log-prefix "[UFW BLOCK] "
-A ufw-before-forward -m conntrack --ctstate RELATED,STABLISHED -j ACCEPT
-A ufw-before-forward -p icmp -m icmp --icmp-type 3 -j ACCEPT
-A ufw-before-forward -p icmp -m icmp --icmp-type 11 -j ACCEPT
-A ufw-before-forward -p icmp -m icmp --icmp-type 12 -j ACCEPT
-A ufw-before-forward -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A ufw-înainte-înainte -j ufw-user-forward
-A ufw-before-input -i lo -j ACCEPT
-A ufw-before-input -m conntrack --ctstate RELATED,STABLISHED -j ACCEPT
-A ufw-before-input -m conntrack --ctstate INVALID -j ufw-logging-deny
-A ufw-before-input -m conntrack --ctstate INVALID -j DROP
-A ufw-before-input -p icmp -m icmp --icmp-type 3 -j ACCEPT
-A ufw-before-input -p icmp -m icmp --icmp-type 11 -j ACCEPT
-A ufw-before-input -p icmp -m icmp --icmp-type 12 -j ACCEPT
-A ufw-before-input -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A ufw-before-input -p udp -m udp --sport 67 --dport 68 -j ACCEPT
-A ufw-înainte de intrare -j ufw-nu-local
-A ufw-înainte de intrare -j ufw-user-input
-A ufw-before-output -o lo -j ACCEPT
-A ufw-before-output -m conntrack --ctstate RELATED,STABLISHED -j ACCEPT
-A ufw-before-output -j ufw-user-output
-A ufw-logging-allow -m limit --limit 3/min --limit-burst 10 -j LOG --log-prefix "[UFW ALLOW] "
-A ufw-logging-deny -m conntrack --ctstate INVALID -m limit --limit 3/min --limit-burst 10 -j RETURN
-A ufw-logging-deny -m limit --limit 3/min --limit-burst 10 -j LOG --log-prefix "[UFW BLOCK]"
-A ufw-not-local -m addrtype --dst-type LOCAL -j RETURN
-A ufw-not-local -m addrtype --dst-type MULTICAST -j RETURN
-A ufw-not-local -m addrtype --dst-type BROADCAST -j RETURN
-A ufw-not-local -m limit --limit 3/min --limit-burst 10 -j ufw-logging-deny
-Un ufw-nu-local -j DROP
-O ufw-sări-la-politică-înainte -j DROP
-O intrare ufw-sări-la-politică -j DROP
-O ieșire ufw-skip-to-policy -j ACCEPT
-A ufw-track-output -p tcp -m conntrack --ctstate NOU -j ACCEPT
-A ufw-track-output -p udp -m conntrack --ctstate NOU -j ACCEPT
-A ufw-user-input -p tcp -m tcp --dport 22 -m conntrack --ctstate NOU -m recent --set --name DEFAULT --mask 255.255.255.255 --rsource
-A ufw-user-input -p tcp -m tcp --dport 22 -m conntrack --ctstate NEW -m recent --update --seconds 30 --hitcount 6 --name DEFAULT --mask 255.255.255.255 -- rsource -j ufw-user-limit
-A ufw-user-input -p tcp -m tcp --dport 22 -j ufw-user-limit-accept
-A ufw-user-input -p tcp -m multiport --dports 80.443 -m comment --comment „\'dapp_Apache%20Full\'” -j ACCEPT
-A ufw-user-limit -m limit --limit 3/min -j LOG --log-prefix „[UFW LIMIT BLOCK]”
-A ufw-user-limit -j REJECT --reject-with icmp-port-unreachable
-A ufw-user-limit-accept -j ACCEPT
81
1 + 4
drapel fr
Tomek
Vă atașați regulile. Probabil că acestea ajung să fie plasate după lanțul dvs. fail2ban și alte reguli care permit ssh și, prin urmare, sunt ineficiente. Afișați-ne iptables complete - salvați rezultatul pentru analiză.
4
Răspunde
drapel in
George Griffin
Ah, asta e un punct bun. Voi actualiza Întrebarea cu un lanț redactat de pe unul dintre servere
0
Răspunde
drapel in
George Griffin
Cred că exact asta se întâmplă. Traficul către PORTURILE 80, 443 și 22 trece la regulile f2b corespunzătoare, iar blocurile nu sunt niciodată evaluate. Voi răspunde la propria întrebare după ce testez o soluție dacă altcineva nu a scris un răspuns până atunci
0
Răspunde
drapel fr
Tomek
Aveți limitarea ratei ssh în lanțul ufw-user-input, care poate permite traficul înainte de a ajunge la regulile dvs. de refuz. Aruncă o privire acolo. Și luați în considerare eliminarea ajutoarelor firewall, ei tind să complice prea mult și să ofusca regulile.
1
Răspunde
Puncte:0
avatar Server
drapel in
George Griffin

Pe baza unui comentariu al lui Tomek, mi-am dat seama că atașez lanțului INPUT cu ansible, în loc să insert reguli noi la început.

Odată ce am introdus regulile, am primit comportamentul așteptat.

0 + 0
drapel romania
SEF 777
întrebarea această in alte limbi:

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.