Fail2Ban desbloquear ipaddress

Question

Fail2Ban desbloquear ipaddress

#1 resposta do (14 votos)
#2 resposta do (1 votos)

9

Estou tentando desbloquear um endereço IP sem reiniciar o Fail2Ban a cada vez, qual é a melhor maneira de fazer isso? Ou você pode me apontar na direção de um guia útil?

Como você pode ver abaixo, o endereço IP que estou tentando remover é: 89.31.259.161

# iptables -L -n

    Chain INPUT (policy DROP)
    target     prot opt source               destination
    fail2ban-apache-badbots  tcp  --  0.0.0.0/0            0.0.0.0/0           multiport dports 80,443
    fail2ban-httpd  tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:80
    fail2ban-sasl  tcp  --  0.0.0.0/0            0.0.0.0/0           multiport dports 25,465,143,220,993,110,995
    fail2ban-SSH  tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:22
    fail2ban-httpd  tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:443
    fail2ban-httpd  tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:80
    fail2ban-vsftpd  tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:21
    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           multiport dports 80,443,25,465,110,995,143,993,587,465,21,20,2855
    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0
    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:54000

    Chain FORWARD (policy DROP)
    target     prot opt source               destination

    Chain OUTPUT (policy ACCEPT)
    target     prot opt source               destination

    Chain fail2ban-SSH (1 references)
    target     prot opt source               destination
    RETURN     all  --  0.0.0.0/0            0.0.0.0/0

    Chain fail2ban-apache-badbots (1 references)
    target     prot opt source               destination
    RETURN     all  --  0.0.0.0/0            0.0.0.0/0

    Chain fail2ban-httpd (3 references)
    target     prot opt source               destination
    DROP       all  --  89.31.259.161        0.0.0.0/0
    DROP       all  --  89.31.259.161        0.0.0.0/0
    RETURN     all  --  0.0.0.0/0            0.0.0.0/0
    RETURN     all  --  0.0.0.0/0            0.0.0.0/0
    RETURN     all  --  0.0.0.0/0            0.0.0.0/0

Chain fail2ban-sasl (1 references)
target     prot opt source               destination
RETURN     all  --  0.0.0.0/0            0.0.0.0/0

Chain fail2ban-vsftpd (1 references)
target     prot opt source               destination
RETURN     all  --  0.0.0.0/0            0.0.0.0/0

Consegui executar: iptables -D fail2ban-httpd -s 89.31.259.161 -j DROP , embora isso excluísse apenas uma das linhas.

iptables fail2ban

por John Magnolia 29.04.2012 / 14:26

2 respostas

1

Da minha experiência com o Fail2ban, desbanir um endereço IP diretamente através do IPTABLES resultará no IP sendo banido novamente pelo Fail2ban se o serviço Fail2ban for reiniciado dentro do Tempo de Banimento.

Dito isso, a maneira mais eficaz e limpa de desbanir um endereço IP proibido pelo Fail2ban é usar o fail2ban-client.

Etapa 1: anote o nome da prisão, marcando o log do Fail2ban

sudo zgrep 'Ban' /var/log/fail2ban.log

Exemplo de saída:

2017-11-03 04:30:14,509 fail2ban.actions [25091]: NOTICE [nginx-badbots] Ban 47.15.15.49 2017-11-03 04:37:29,597 fail2ban.actions [27065]: NOTICE [nginx-badbots] Ban 103.31.87.187 2017-11-03 04:37:30,124 fail2ban.actions [27065]: NOTICE [nginx-badbots] Ban 201.33.170.251 2017-11-03 04:37:30,364 fail2ban.actions [27065]: NOTICE [nginx-badbots] Ban 47.15.15.49 2017-11-03 04:38:06,754 fail2ban.actions [27065]: NOTICE [vsftpd] Ban 128.20.12.68

Se estivermos interessados em desbanir o endereço IP - 128.20.12.68 - então o nome da Jail é vsftpd.

Etapa 2: desbanque o endereço IP usando o fail2ban-client. O formato geral é:

sudo fail2ban-client set [JAIL] unbanip [xx.xx.xx.xx]

Agora, execute:

sudo fail2ban-client set vsftpd unbanip 128.20.12.68

Exemplo de saída:

128.20.12.68

Etapa 3: confirme a exclusão do registro do Fail2ban

sudo tail -f /var/log/fail2ban.log

Exemplo de saída:

2017-11-03 04:38:13,332 fail2ban.actions [27065]: NOTICE [vsftpd] Unban 128.20.12.68

por 03.11.2017 / 05:05

Tags iptables fail2ban

A maneira mais rápida de copiar a pasta que contém muitos arquivos via SSH No cabeçalho do email, a que o “recebido de” ip se refere?

score 14 · Accepted Answer

Use a opção --line-numbers para o iptables para obter uma listagem que mostre os números de linha das regras em uma cadeia, por exemplo,

iptables -L fail2ban-SSH -v -n --line-numbers
Chain fail2ban-SSH (1 references)
num   pkts bytes target     prot opt in     out   source              destination
1       19  2332 DROP       all  --  *      *     193.87.172.171      0.0.0.0/0
2       16  1704 DROP       all  --  *      *     222.58.151.68       0.0.0.0/0
3       15   980 DROP       all  --  *      *     218.108.224.81      0.0.0.0/0
4        6   360 DROP       all  --  *      *     91.196.170.231      0.0.0.0/0
5     8504  581K RETURN     all  --  *      *     0.0.0.0/0           0.0.0.0/0

Em seguida, use iptables -D chain rulenum para remover os que você não deseja, por exemplo,

iptables -D fail2ban-SSH 1

excluiria o

1       19  2332 DROP       all  --  *      *     193.87.172.171      0.0.0.0/0

linha do exemplo acima. Observe que tudo é renumerado para que você possa executar o mesmo comando novamente para remover a nova regra 1 da cadeia.