Coloque o ban em seu arquivo de configuração permanente do iptables (possivelmente /etc/sysconfig/iptables
).
Eu montei uma prisão personalizada para um spambot que está me dando problemas. Usando o "bantime -1" eu estava tentando banir permanentemente o botnet. Eu pensei que estava funcionando, mas quando o logrotate semanal ocorreu fail2ban unbanned todos os IPs.
Qual é a melhor maneira de banir permanentemente e persistentemente um IP usando o fail2ban?
Está fazendo algo como este + registro permanentemente baniu o IP para arquivos separados (que não são rotacionados) uma boa solução?
Felicidades, Thomas
P.S: Eu gostaria de fazer isso sem novos cronjobs e scripts.
P.P.S .: estou usando o Debian.
Coloque o ban em seu arquivo de configuração permanente do iptables (possivelmente /etc/sysconfig/iptables
).
Meu arquivo de ação peraban acrescenta ao IP o arquivo que meu firewall carrega na inicialização, para que ele nunca seja perdido. Como você consegue isso dependerá da sua configuração e sistema.
O Fail2ban monitora vários logs e executa ações com base no que encontrar. Neste caso particular, ele estará adicionando regras ao firewall do iptables. Você precisará salvar o estado do seu firewall antes que as regras de proibição sejam excluídas.
Como e onde fazer isso depende do seu sistema. Para sistemas Red Hat e similares, você pode usar
sudo service iptables save
que gravará o estado atual do seu firewall iptables em / etc/sysconfig/iptables
para sistemas Ubuntu, dê uma olhada no este documento que fornece orientações sobre como e onde para fazer alterações nos arquivos de inicialização / desligamento para salvar e restaurar a configuração do iptables.
Para sistemas Debian, dê uma olhada no este artigo.
Uma vez que você saiba como salvar o estado do seu firewall, você pode fazer o save / restore nos scripts logrotate prerotate e postrotate.
Eu vasculhei a rede por algumas horas tentando encontrar uma maneira sólida de fazer isso. Este artigo foi uma dádiva de Deus para mim!
Fail2Ban: Banimento SSH permanente . Ele sugere um arquivo separado para armazenar e recuperar IPs permanentemente proibidos, que são lidos em fail2ban
launch e gravados sempre que um endereço é banido. Um similar pode ser usado para armazenar proibições em um banco de dados ou nas regras do iptables em todo o sistema.