Fail2Ban - como evitar que meu IP do ISP seja banido?

5

Acabei de instalar o Fail2Ban.

Eu quero adicionar meu IP do provedor à minha lista de ignorados, mas meu IP é dinâmico.

No arquivo jail.conf, eu tenho assim:

[DEFAULT]

# "ignoreip" can be an IP address, a CIDR mask or a DNS host
ignoreip = 127.0.0.1
bantime  = 600
maxretry = 3

Meu DNS é parecido com isto: 12-123-112-223.zone6.myISPName.co.uk

É possível adicionar DNS wild à lista de ignorados? por exemplo, *.myISPName.co.uk

    
por I'll-Be-Back 10.03.2012 / 15:26

2 respostas

5

fail2ban não permite o uso de endereços curinga.
Você tem várias possibilidades:
1. use um DNS dinâmico para o endereço que você deseja excluir. 2. escreva uma regra de aceitação para o iptable, executada antes das regras do fail2ban
3. apenas configure o fail2ban

Como configurar o fail2ban para ignorar seu endereço?
Por dentro de /etc/fail2ban/filter.d/ você tem filtros pré-fabricados. Suas regras já usam uma delas (por exemplo, com filter = sshd use o filtro sshd).
Basta modificar o (s) filtro (s) desejado (ou modificar uma cópia) para adicionar uma regra "excluir". As regras de exclusão começam com ignoreregex . Eles são escritos exatamente como as regras de "correspondência". Dê uma olhada em man fail2ban-regex .
Por exemplo, você pode adicionar ignoreregex .myISPName.co.uk no filtro desejado.
Mas isso também protegerá qualquer invasor do mesmo provedor.

    
por 11.03.2012 / 02:09
0

crie um script simples em / usr / local / bin / userip

#!/bin/sh
if [ ! -z $1 ]; then
    who --ips | grep ^$1 | rev | cut -d' ' -f1 | rev | tail -n1
fi

Isso Obtém o endereço IP do nome de usuário registrado passado no primeiro argumento

Edite o arquivo /etc/fail2ban/action.d/iptables-multiport.conf (ou iptables.conf)

actionban = [ ''$(userip YOURUSER) != '<ip>' ] && iptables -I fail2ban-<name> 1 -s <ip> -j DROP

agora o fail2ban não bloqueia o seu endereço IP até que você esteja logado com seu nome de usuário YOURUSER com ssh

    
por 28.01.2013 / 05:12