Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Ogłoszenie
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
#1 2015-07-14 15:14:57
lewyx84 - 
Użytkownik
- lewyx84
- Użytkownik
- Zarejestrowany: 2013-10-29
Fail2Ban i banowanie po CIDR
Cześć,
czy próbowałem ktoś z Was zmusić ten soft do banowania IPków po masce?
Utworzyłem plik o nazwie iptables-multirange.conf i w nim:
Kod:
# Fail2Ban configuration file
#
# Author: Cyril Jaquier
# Modified by Yaroslav Halchenko for multiport banning
# $Revision$
#
[Definition]
# Option: actionstart
# Notes.: command executed once at the start of Fail2Ban.
# Values: CMD
#
actionstart = iptables -N fail2ban-<name>
iptables -A fail2ban-<name> -j RETURN
iptables -I <chain> -p <protocol> -m multiport --dports <port> -j fail2ban-<name>
# Option: actionstop
# Notes.: command executed once at the end of Fail2Ban
# Values: CMD
#
actionstop = iptables -D <chain> -p <protocol> -m multiport --dports <port> -j fail2ban-<name>
iptables -F fail2ban-<name>
iptables -X fail2ban-<name>
# Option: actioncheck
# Notes.: command executed once before each actionban command
# Values: CMD
#
actioncheck = iptables -n -L <chain> | grep -q fail2ban-<name>
# Option: actionban
# Notes.: command executed when banning an IP. Take care that the
# command is executed with Fail2Ban user rights.
# Tags: <ip> IP address
# <failures> number of failures
# <time> unix timestamp of the ban time
# Values: CMD
#
actionban = iptables -I fail2ban-<name> 1 -s <ip/24> -j DROP
# Option: actionunban
# Notes.: command executed when unbanning an IP. Take care that the
# command is executed with Fail2Ban user rights.
# Tags: <ip> IP address
# <failures> number of failures
# <time> unix timestamp of the ban time
# Values: CMD
#
actionunban = iptables -D fail2ban-<name> -s <ip/24> -j DROPw jail.conf ustawione
banaction = iptables-multirange
niestety nie zdaje to rezultatu.
Ostatnio edytowany przez lewyx84 (2015-07-14 15:16:41)
Offline
#2 2015-07-14 15:32:30
ethanak - Użytkownik
#3 2015-07-14 15:38:42
lewyx84 - Użytkownik
- lewyx84
- Użytkownik
- Zarejestrowany: 2013-10-29
Re: Fail2Ban i banowanie po CIDR
Zmieniłem, zaraz się zobaczy :)
Offline
#4 2015-07-14 17:31:37
Jacekalex - Podobno człowiek...;)
- Jacekalex
- Podobno człowiek...;)
- Skąd: /dev/random
- Zarejestrowany: 2008-01-07
Re: Fail2Ban i banowanie po CIDR
Po pierwsze nie pakuj przez Failbana regułek do Iptables (bo możesz zapchać FW i praktycznie zamulić sieć na hoście), tylko pakuj te banowane IP do tablicy Ipseta, wtedy się ich tam zmieści nawet pół miliona (zależy, jak ustawisz), a w FW będzie to jedna regułka.
Rzuć okiem na to:
https://forum.dug.net.pl/viewtopic.php?pid=269260#p269260
W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)
Offline
#5 2015-07-14 17:48:00
lewyx84 - Użytkownik
- lewyx84
- Użytkownik
- Zarejestrowany: 2013-10-29
Re: Fail2Ban i banowanie po CIDR
Patrząc na sznurek który rzuciłeś, to rozumiem, że mogę całkowicie zrezygnować z fail2ban? :) Bo wygląda to ciekawie, nie powiem :)
Offline
#6 2015-07-14 18:22:54
Jacekalex - Podobno człowiek...;)
- Jacekalex
- Podobno człowiek...;)
- Skąd: /dev/random
- Zarejestrowany: 2008-01-07
Re: Fail2Ban i banowanie po CIDR
Tam jest coś w rodzaju automatu, który łapie skanery buszujące po różnych portach, np porcie SSH czy Mysql i banuje na 3600/86400 sekund w Ipsecie.
Jeśli chcesz chronić jakieś usługi publiczne, np serwer SMTP, FTP czy logowanie przez WWW, to po pierwsze są bardzo dobre moduły hashlimit i recent w samym firewallu, a poszczególne demony też mają własne metody banowania podejrzanych pacjentów, jak np mod_ban w Proftpd, czy chociażby skrypty w typie httpd_guardian, który spięty z mod_evasive czy mod_security bardzo grzecznie broni Apacha, różne formy limitowania masz też w Nginxie, Lighttpd, Postfixie.
Także Fail2ban w dzisiejszych czasach nie jest niezastąpiony, zwłaszcza, że możesz sobie bez kłopotu naskrobać demona w Perlu czy Pythonie, który z komunikatu w logu wyczesze adres IP i zapakuje do Ipseta.
Potem komunikaty Sysloga czy demona puszczasz na socket lub kolejkę fifo, wieszasz na tym sockecie skrypta, żeby czytał i parsował komunikaty,
i gotowe, a krytyczne demony ustawiasz, żeby logi wysyłały np do sysloga.
Krótko pisząc, masz setkę możliwości, a Fail2ban wcale nie jest najdoskonalszą opcją.
Wszystko zależy, jakie usługi potrzebujesz chronić.
Ostatnio edytowany przez Jacekalex (2015-07-14 19:13:49)
W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)
Offline