Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!

Ogłoszenie

Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.

#1  2017-09-01 12:06:41

  urbinek - Dzban Naczelny

urbinek
Dzban Naczelny
Skąd: Sosnowiec
Zarejestrowany: 2009-10-01
Serwis

fail2ban nie wykonuje zadanej akcji

Bry, próbuje pożenić fail2ban z Mikrotikiem. Parsuje 2 logi:
- lokalny log na serwerze z prób logowania do ssh
- odbierany log z prób logowania do ipsec'a na MikroTiku


Po uruchomieniu usługi adresy wykryte w SSH są dodawane, adresy wykryte w ipsec nie..

Konfiguracja jest podobna, filtry działają a mimo to ssh działa a ipsec nie...

Kod:

# cat /etc/fail2ban/jail.local
[DEFAULT]
bantime = 129600

[sshd]
enabled = true
banaction = mikrotik
maxentry = 3

[MikroTik-ipsec]
enabled = true
banaction = mikrotik-ipsec
logpath = /var/log/MikroTik/gw.urbinek.eu.log
maxretry = 3

Kod:

# cat /etc/fail2ban/filter.d/ipsec-mt.local
#Aug 30 12:09:08 ipsec Invalid exchange type 243 from 188.175.170.249[20673].
#Aug 30 13:47:17 gw.urbinek.eu ipsec,error 93.153.251.14 failed to get valid proposal.
#Aug 30 13:47:17 gw.urbinek.eu ipsec,error 93.153.251.14 failed to pre-process ph1 packet (side: 1, status 1).
#Aug 30 13:47:17 gw.urbinek.eu ipsec,error 93.153.251.14 phase1 negotiation failed.
#Sep  1 11:08:16 ipsec no IKEv1 peer config for 46.134.127.211

[Definition]
failregex = ipsec Invalid exchange type \d+ from <HOST>\[\d+\]\.
            ipsec,error <HOST> failed to get valid proposal.
            ipsec no IKEv1 peer config for <HOST>

Kod:

# cat /etc/fail2ban/action.d/mikrotik.local
[Definition]
actionban = ssh -i /tmp/mikrotik_2048 admin-ssh@gw.urbinek.eu '/ip firewall address-list add address="<ip>" comment="via_fail2ban" list="_blokuj"'

Kod:

# cat /etc/fail2ban/action.d/mikrotik-ipsec.local
[Definition]
actionban = ssh -i /tmp/mikrotik_2048 admin-ssh@gw.urbinek.eu '/ip firewall address-list add address="<ip>" comment="via_fail2ban" list="_blokuj-ipsec"'

Kod:

# fail2ban-regex /var/log/MikroTik/gw.urbinek.eu.log /etc/fail2ban/filter.d/ipsec-mt.local

Running tests
=============

Use   failregex filter file : ipsec-mt, basedir: /etc/fail2ban
Use         log file : /var/log/MikroTik/gw.urbinek.eu.log
Use         encoding : UTF-8


Results
=======

Failregex: 388 total
|-  #) [# of hits] regular expression
|   1) [309] ipsec Invalid exchange type \d+ from <HOST>\[\d+\]\.
|   2) [71] ipsec,error <HOST> failed to get valid proposal.
|   3) [8] ipsec no IKEv1 peer config for <HOST>
`-

Ignoreregex: 0 total

Date template hits:
|- [# of hits] date format
|  [22530] (?:DAY )?MON Day 24hour:Minute:Second(?:\.Microseconds)?(?: Year)?
`-

Lines: 22530 lines, 0 ignored, 388 matched, 22142 missed
[processed in 9.14 sec]

Missed line(s): too many to print.  Use --print-all-missed to print all 22142 lines

Kod:

# fail2ban-client status sshd
Status for the jail: sshd
|- Filter
|  |- Currently failed: 0
|  |- Total failed:     0
|  `- Journal matches:  _SYSTEMD_UNIT=sshd.service + _COMM=sshd
`- Actions
   |- Currently banned: 5
   |- Total banned:     5
   `- Banned IP list:   151.84.145.9 181.22.203.98 186.4.156.124 89.75.102.88 95.213.202.178

Kod:

# fail2ban-client status MikroTik-ipsec
Status for the jail: MikroTik-ipsec
|- Filter
|  |- Currently failed: 0
|  |- Total failed:     0
|  `- File list:        /var/log/MikroTik/gw.urbinek.eu.log-test
`- Actions
   |- Currently banned: 0
   |- Total banned:     0
   `- Banned IP list:

Macie jakieś pomysły co robię źle bo mi już brakuje

Ostatnio edytowany przez urbinek (2017-09-01 12:11:34)


A w wolnym czasie, robię noże :)
http://nginx.urbinek.eu/_photos/signature.png

Offline

 

#2  2017-09-01 12:28:53

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/random
Zarejestrowany: 2008-01-07

Re: fail2ban nie wykonuje zadanej akcji

Nie lepiej zatrudnić do tego samego iptablesa?

Rzuć okiem na to:
https://forum.dug.net.pl/viewtopic.php?pid=269260

i na to:
https://forums.gentoo.org/viewtopic-p-7081326.html

Do tego SYNCOOKIES, i powinno być ok.

Ja fail2bana nigdy do niczego nie potrzebowałem.


Chyba, że masz do chronienia serwer VOIP, to wtedy musisz zatrudnić moduł string netfiltera, i jest z tym troszkę więcej zabawy.

Pozdro

Ostatnio edytowany przez Jacekalex (2017-09-01 12:29:52)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#3  2017-09-01 12:44:16

  urbinek - Dzban Naczelny

urbinek
Dzban Naczelny
Skąd: Sosnowiec
Zarejestrowany: 2009-10-01
Serwis

Re: fail2ban nie wykonuje zadanej akcji

Generalnie nie szukam jakiegoś rozwiązania tylko chce uruchomić to :)

Mogę użyć iptables lokalnie - to jeden ze sposób, który już wcześniej ustawiłem wcześniej i działał bez problemu ale chce się tym pobawić i robić coś scentralizowanego (For science!).

Zachowanie systemu jest takie jakbym chciał ale nie wiem czemu ten jeden jail nie działa w ogóle


A w wolnym czasie, robię noże :)
http://nginx.urbinek.eu/_photos/signature.png

Offline

 

#4  2017-09-01 13:26:31

  urbinek - Dzban Naczelny

urbinek
Dzban Naczelny
Skąd: Sosnowiec
Zarejestrowany: 2009-10-01
Serwis

Re: fail2ban nie wykonuje zadanej akcji

magia, zrestartowałem usługę, poszedłem na obiadek - zaczęło działać :D


A w wolnym czasie, robię noże :)
http://nginx.urbinek.eu/_photos/signature.png

Offline

 

Stopka forum

Powered by PunBB
© Copyright 2002–2005 Rickard Andersson
Nas ludzie lubią po prostu, a nie klikając w przyciski ;-)