înregistrare Logare
Puncte:0
FedKad avatar Ubuntu

Cum se configurează fail2ban atât pentru portul TCP, cât și pentru portul UDP?

drapel cn
FedKad

Vreau să interzic unele solicitări DNS care vin la mine numit Server. Serverul ascultă în mod normal atât portul TCP, cât și UDP 53 și înregistrează cererile /var/log/named/query.log fişier. Deci, am adăugat următoarea intrare la sfârșitul /etc/fail2ban/jail.local:

[numit-xyz]
activat = adevărat
port = domeniu
filtru = xyz
logpath = /var/log/named/query.log
bantime = 1d
acțiune = %(action_)s

Cu toate acestea, aceasta interzice doar portul TCP (în mod implicit). Pentru a interzice și portul UDP, trebuie să adaug o altă intrare:

[numit-xyz-udp]
activat = adevărat
port = domeniu
protocol = udp
filtru = xyz
logpath = /var/log/named/query.log
bantime = 1d
acțiune = %(action_)s

A avea intrări similare poate să nu arate exagerat, dar are un dezavantaj de a înregistra intrări duble pentru un o singură cerere „rea”. la fail2ban.log fisier ca acesta:

fail2ban.filter [11619]: INFORMAȚII [named-xyz-udp] S-a găsit a.b.c.d
fail2ban.filter [11619]: INFORMAȚII [named-xyz] S-a găsit a.b.c.d

Cum pot interzice pur și simplu atât UDP/53, cât și TCP/53 în același timp cu a o singură regulă în închisoare.local? A protocol = all linia nu funcționează în cazul meu.

fail2ban versiunea este v0.11.1.

415
1 + 0
Puncte:0
sebres avatar Ubuntu
drapel co
sebres

A protocol = all linia nu funcționează în cazul meu.

Depinde de acțiunea de interzicere pe care o folosești. Ce vrei să spui prin „nu funcționează”?

Pentru acțiuni (cum ar fi iptables-allports acceptând toate) poate fi suficient să setați așa, pentru alte acțiuni (care acceptă mai multe protocoale, cum ar fi nftables), poate fi setat cu protocol = tcp,udp (sau orice separator de care ar avea nevoie în loc de virgulă).
Pentru acțiunile care nu acceptă mai multe protocoale (cum ar fi iptables-multiport) trebuie să specificați 2 acțiuni, aici este un exemplu care funcționează pentru cele mai noi versiuni fail2ban - https://github.com/fail2ban/fail2ban/blob/10cd81552538fa950cefc32787b9f82b5ee1b998/config/jail.conf#L748-L749

Pentru versiunile mai vechi fail2ban care nu acceptă interpolarea %(implicit/acțiune_)s sau parametri multipli [...][...] trebuie să setați ceva de genul acesta:

acțiune = %(action_)s[name=%(__name__)s-tcp, protocol="tcp"]
         %(action_)s[name=%(__name__)s-udp, protocol="udp"]

(sau prin fail2ban 0.9.x chiar înlocuiți %(action_)s cu al ei; cu al lui întreaga definiție din secțiunea implicită):

action = %(banaction)s[name=%(__name__)s-tcp, actionname=%(__name__)s-tcp, protocol="tcp", port="%(port)s", chain="%(chain) )s"]
         %(banaction)s[name=%(__name__)s-udp, actionname=%(__name__)s-udp, protocol="udp", port="%(port)s", chain="%(chain)s "]
0 + 2
FedKad avatar
drapel cn
FedKad
Îmi pare rău, nu v-am putut urmări răspunsul, deoarece nu sunt expert în fail2ban. Care ar fi sugestia ta pentru modificarea primei intrări (în întrebarea mea)? Punerea unui „acțiune =” cu două linii, așa cum ați sugerat, dă eroarea: „opțiunea „acțiune” din secțiunea „named-xyz” există deja”
0
Răspunde
sebres avatar
drapel co
sebres
trebuie sa pui 2 actiuni cu un singur parametru `action`, vezi exemplul meu - deci 2 linii, dar a doua linie fara `action =`, doar cu putine spatii; și asigurați-vă că nu ați specificat deja o „acțiune” în secțiunea pentru închisoare „named-xyz”.
0
Răspunde
drapel romania
SEF 777
întrebarea această in alte limbi:

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.