Proibir permanentemente e persistentemente um IP com o fail2ban

7

Eu montei uma prisão personalizada para um spambot que está me dando problemas. Usando o "bantime -1" eu estava tentando banir permanentemente o botnet. Eu pensei que estava funcionando, mas quando o logrotate semanal ocorreu fail2ban unbanned todos os IPs.

Qual é a melhor maneira de banir permanentemente e persistentemente um IP usando o fail2ban?

Está fazendo algo como este + registro permanentemente baniu o IP para arquivos separados (que não são rotacionados) uma boa solução?

Felicidades, Thomas

P.S: Eu gostaria de fazer isso sem novos cronjobs e scripts.
P.P.S .: estou usando o Debian.

    
por Tie-fighter 18.10.2010 / 15:22

4 respostas

5

Coloque o ban em seu arquivo de configuração permanente do iptables (possivelmente /etc/sysconfig/iptables ).

    
por 18.10.2010 / 16:31
2

Meu arquivo de ação peraban acrescenta ao IP o arquivo que meu firewall carrega na inicialização, para que ele nunca seja perdido. Como você consegue isso dependerá da sua configuração e sistema.

    
por 18.10.2010 / 16:43
2

O Fail2ban monitora vários logs e executa ações com base no que encontrar. Neste caso particular, ele estará adicionando regras ao firewall do iptables. Você precisará salvar o estado do seu firewall antes que as regras de proibição sejam excluídas.

Como e onde fazer isso depende do seu sistema. Para sistemas Red Hat e similares, você pode usar

sudo service iptables save

que gravará o estado atual do seu firewall iptables em / etc/sysconfig/iptables

para sistemas Ubuntu, dê uma olhada no este documento que fornece orientações sobre como e onde para fazer alterações nos arquivos de inicialização / desligamento para salvar e restaurar a configuração do iptables.

Para sistemas Debian, dê uma olhada no este artigo.

Uma vez que você saiba como salvar o estado do seu firewall, você pode fazer o save / restore nos scripts logrotate prerotate e postrotate.

    
por 01.11.2010 / 18:31
2

Eu vasculhei a rede por algumas horas tentando encontrar uma maneira sólida de fazer isso. Este artigo foi uma dádiva de Deus para mim! Fail2Ban: Banimento SSH permanente . Ele sugere um arquivo separado para armazenar e recuperar IPs permanentemente proibidos, que são lidos em fail2ban launch e gravados sempre que um endereço é banido. Um similar pode ser usado para armazenar proibições em um banco de dados ou nas regras do iptables em todo o sistema.

    
por 03.04.2011 / 07:53