Come vedi tutti gli IP vietati per Ubuntu 12.04 dalla riga di comando?

36

Non riesco a trovare un comando rapido per visualizzare semplicemente tutti gli IP vietati sul server. O c'è un file che posso solo modificare?

Immagino che fail2ban sia quello che inserisce tutti gli IP da vietare. Dove posso regolare le impostazioni per esso?

Mi sembra di poter accedere al mio server in remoto solo se disabilito ufw. Non riesco a scoprire come sbannarmi. Non so nemmeno perché sono stato bandito in primo luogo. Esiste un registro di qualche tipo per visualizzare tutti i tentativi effettuati?

firewall  fail2ban 
Patoshi パ ト シ
fonte
5
sudo iptables -L -n?
Seth,
c'è così tanto output. cosa dovrei cercare? i.imgur.com/zTTXJTE.png ... grazie .. ho fatto in modo che <ap_address> mi sia riuscito e ancora non ha funzionato. non so dove dice che è vietato.
Patoshi パ ト シ
Ha anche fatto uno stato ufw e quindi disabilitato ufw, ha fatto un iptables -F, quindi abilitato ufw. Non riesco ancora ad accedere al mio server da remoto. Il mio IP è chiaramente mostrato nella casella di stato come consenti: i.imgur.com/f7JD2Ny.png
Patoshi パ ト シ
hai aperto la porta ssh prima di inviare il server?
Qasim,
come lo controllo? Posso accedere a SSH quando il firewall è spento. quindi non funziona di default?
Patoshi パ ト シ,

Risposte:

24

sudo iptables -L INPUT -v -n | less

Questo dice a iptables di elencare tutte le regole nella catena INPUT, fornendo un output numerico dettagliato. Stiamo eseguendo il piping di meno in modo da ottenere una pagina alla volta.

Anziano Geek
fonte
2
Forse qualcosa è cambiato dal 2014, ma allo stato attuale delle cose, questa risposta è sbagliata poiché fail2ban non mette le cose nella INPUTcatena.
Billynoah,
@billynoah Ovviamente qualcosa è cambiato. Niente nella vita è statico. Per uno, 12.04 non è più supportato. Se lo stai ancora usando, ti consiglio di aggiornare a 16.04 LTS, che è supportato fino ad aprile 2021.
Elder Geek,
Non sono sicuro se ti riferisci a 12.04 perché ho detto 2014? Stavo parlando dell'anno della tua risposta.
Billynoah,
1
@billynoah Mi riferisco a 12.04 a causa del fatto che è indicato nella domanda a cui è stata fornita questa risposta. Hai le mie scuse per qualsiasi confusione che potresti provare. :-)
Elder Geek,
45

versione corta :

elenca tutti gli IP attualmente bloccati:

fail2ban-client status | grep "Jail list:" | sed "s/ //g" | awk '{split($2,a,",");for(i in a) system("fail2ban-client status " a[i])}' | grep "Status\|IP list"

sbloccare un ip:

fail2ban-client set postfix-mail unbanip 111.222.333.444

versione lunga :

se stai cercando il modo "ufficiale" per farlo, esiste un client da riga di comando per fail2ban https://www.fail2ban.org/wiki/index.php/Commands :

~ # fail2ban-client status
Status
|- Number of jail:      8
`- Jail list:           roundcube, sshd, sogo, postfix-sasl, postfix-mail, dovecot, ssh, sshd-ddos

allora puoi correre

~ # fail2ban-client status roundcube

Status for the jail: roundcube
|- filter
|  |- File list:        /var/log/mail.log
|  |- Currently failed: 0
|  `- Total failed:     12
`- action
   |- Currently banned: 1
   |  `- IP list:       111.222.333.444
   `- Total banned:     1

oppure puoi usare il mio comando, che scorre su tutte le jail esistenti:

fail2ban-client status | grep "Jail list:" | sed "s/ //g" | awk '{split($2,a,",");for(i in a) system("fail2ban-client status " a[i])}' | grep "Status\|IP list"

che produce:

Status for the jail: roundcube
   |  `- IP list:
Status for the jail: sshd
   |  `- IP list:
Status for the jail: sogo
   |  `- IP list:
Status for the jail: postfix-sasl
   |  `- IP list:
Status for the jail: postfix-mail
   |  `- IP list:
Status for the jail: dovecot
   |  `- IP list:
Status for the jail: ssh
   |  `- IP list:
Status for the jail: sshd-ddos
   |  `- IP list:
C33
fonte
Dovrebbe essere la risposta accettata ora.
Basj,
senza awk:fail2ban-client status | grep "Jail list:" | sed "s/`- Jail list://" | sed "s/\s//g" | sed "s/,/\n/g" | xargs -L1 fail2ban-client status | less
Quamis
21

Puoi vedere tutti gli IP precedentemente vietati /var/log/fail2ban.log

sudo zgrep 'Ban' /var/log/fail2ban.log*

Alcuni divieti sono temporanei, quindi non sono sicuro di come cancellarli al meglio (i miei log fail2ban sono vuoti e questo rende più difficile il test!). Potresti entrare in un grande schema contabile con il awkcomando, ma sta diventando piuttosto noioso.

Ad ogni modo, è così che vuoi farlo se stai cercando un motivo per cui sei stato bandito.

L'altro modo è guardare le tabelle IP e vedere cosa viene eliminato. Ancora una volta, questo ha alcuni problemi perché mostra percorsi predefiniti che vengono sovrascritti ma sto bloccando le regole con una fonte di 0.0.0.0/0 e che sembra mantenerlo abbastanza pulito per un uso pratico:

sudo iptables -L -n | awk '$1=="DROP" && $4!="0.0.0.0/0"'

Questo non spiegherà perché sia ​​accaduto un divieto.

Oli
fonte
fail2ban è l'applicazione principale che fa il bando e non qualsiasi altra app? il mio server è solo un server Ubuntu di base, quindi non ho mai installato nient'altro in esso.
Patoshi パ ト シ il
In tal caso, sì.
Oli
1
Nota che la mia versione attuale scrive NOTICE [snap-iptables] Ban 45.32.216.148: no ':'dopo la parola Ban, ma spazi prima e dopo.
Alexis Wilke,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.