Fail2Ban sblocca ipaddress

11

Sto cercando di sbloccare un indirizzo IP senza riavviare Fail2Ban ogni volta, qual è il modo migliore per farlo? Oppure puoi indicarmi la direzione di una guida utile?

Come puoi vedere sotto l'indirizzo IP che sto cercando di rimuovere è: 89.31.259.161

# iptables -L -n

    Chain INPUT (policy DROP)
    target     prot opt source               destination
    fail2ban-apache-badbots  tcp  --  0.0.0.0/0            0.0.0.0/0           multiport dports 80,443
    fail2ban-httpd  tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:80
    fail2ban-sasl  tcp  --  0.0.0.0/0            0.0.0.0/0           multiport dports 25,465,143,220,993,110,995
    fail2ban-SSH  tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:22
    fail2ban-httpd  tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:443
    fail2ban-httpd  tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:80
    fail2ban-vsftpd  tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:21
    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           multiport dports 80,443,25,465,110,995,143,993,587,465,21,20,2855
    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0
    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:54000

    Chain FORWARD (policy DROP)
    target     prot opt source               destination

    Chain OUTPUT (policy ACCEPT)
    target     prot opt source               destination

    Chain fail2ban-SSH (1 references)
    target     prot opt source               destination
    RETURN     all  --  0.0.0.0/0            0.0.0.0/0

    Chain fail2ban-apache-badbots (1 references)
    target     prot opt source               destination
    RETURN     all  --  0.0.0.0/0            0.0.0.0/0

    Chain fail2ban-httpd (3 references)
    target     prot opt source               destination
    DROP       all  --  89.31.259.161        0.0.0.0/0
    DROP       all  --  89.31.259.161        0.0.0.0/0
    RETURN     all  --  0.0.0.0/0            0.0.0.0/0
    RETURN     all  --  0.0.0.0/0            0.0.0.0/0
    RETURN     all  --  0.0.0.0/0            0.0.0.0/0

Chain fail2ban-sasl (1 references)
target     prot opt source               destination
RETURN     all  --  0.0.0.0/0            0.0.0.0/0

Chain fail2ban-vsftpd (1 references)
target     prot opt source               destination
RETURN     all  --  0.0.0.0/0            0.0.0.0/0

Sono stato in grado di eseguire: iptables -D fail2ban-httpd -s 89.31.259.161 -j DROPanche se questo ha eliminato solo una delle righe.

iptables fail2ban

— John Magnolia
fonte

Vedi serverfault.com/questions/285256/…

— psp

15

Utilizzare l' --line-numbersopzione iptables per ottenere un elenco che mostra i numeri di riga per le regole in una catena, ad es

iptables -L fail2ban-SSH -v -n --line-numbers
Chain fail2ban-SSH (1 references)
num   pkts bytes target     prot opt in     out   source              destination
1       19  2332 DROP       all  --  *      *     193.87.172.171      0.0.0.0/0
2       16  1704 DROP       all  --  *      *     222.58.151.68       0.0.0.0/0
3       15   980 DROP       all  --  *      *     218.108.224.81      0.0.0.0/0
4        6   360 DROP       all  --  *      *     91.196.170.231      0.0.0.0/0
5     8504  581K RETURN     all  --  *      *     0.0.0.0/0           0.0.0.0/0

Quindi utilizzare iptables -D chain rulenumper rimuovere quelli che non si desidera ad es

iptables -D fail2ban-SSH 1

eliminerebbe il

1       19  2332 DROP       all  --  *      *     193.87.172.171      0.0.0.0/0

riga dell'esempio sopra. Si noti che tutto viene rinumerato in modo da poter eseguire nuovamente lo stesso comando per rimuovere la nuova regola 1 nella catena.

— user9517
fonte

Questo funzionerà - FINO A quando riavvii il server o fail2ban. La risposta di @Ndianabasi è migliore.

— TheStoryCoder

5

Dalla mia esperienza con Fail2ban, la decompressione di un indirizzo IP direttamente tramite IPTABLES comporterà l'esclusione dell'IP da Fail2ban se il servizio Fail2ban viene riavviato entro il Ban Time.

Detto questo, il modo più efficace e pulito di annullare la scansione di un indirizzo IP vietato da Fail2ban è l'utilizzo del client fail2ban.

Passaggio 1: prendere nota del nome jail controllando il registro Fail2ban

sudo zgrep 'Ban' /var/log/fail2ban.log

Uscita campione:

03/11/2017 04: 30: 14.509 fail2ban.actions [25091]: AVVISO [nginx-badbots] Divieto 47.15.15.49 2017-11-03 04: 37: 29.597 fail2ban.actions [27065]: AVVISO [nginx-badbots] Divieto 103.31.87.187 2017-11-03 04: 37: 30.124 fail2ban.actions [27065]: AVVISO [nginx-badbots] Divieto 201.33.170.251 2017-11-03 04: 37: 30.364 fail2ban.actions [27065]: AVVISO [ nginx-badbots] Ban 47.15.15.49 2017-11-03 04: 38: 06.754 fail2ban.actions [27065]: AVVISO [vsftpd] Ban 128.20.12.68

Se siamo interessati a scansionare l'indirizzo IP - 128.20.12.68 - allora il nome del Jail è vsftpd.

Passaggio 2: annulla l'indirizzo IP utilizzando fail2ban-client. Il formato generale è:

sudo fail2ban-client set [JAIL] unbanip [xx.xx.xx.xx]

Ora esegui:

sudo fail2ban-client set vsftpd unbanip 128.20.12.68

Uscita campione:

128.20.12.68

Passaggio 3: confermare lo sblocco dal registro Fail2ban

sudo tail -f /var/log/fail2ban.log

Uscita campione:

03/11/2017 04: 38: 13.332 fail2ban.actions [27065]: AVVISO [vsftpd] Unban 128.20.12.68

— Ndianabasi
fonte

1

Questa dovrebbe essere la risposta accettata.

— TheStoryCoder