erro fail2ban ao configurar o iptables no Synology NAS

Navegue suas respostas
2

Eu configurei o fail2ban 0.9.1 no meu Synology NAS para lidar com tentativas de SSH com falha. Quando inicio a cadeia, recebo os seguintes erros no fail2ban.log: 

2015-02-01 17:22:52,394 fail2ban.jail           [30576]: INFO    Jail 'ssh-iptables-syno' started
2015-02-01 17:22:53,287 fail2ban.actions        [30576]: NOTICE  [ssh-iptables-syno] Ban 103.41.124.52
2015-02-01 17:22:53,613 fail2ban.action         [30576]: ERROR   iptables -I f2b-ssh-iptables-syno 1 -s 103.41.124.52 -j REJECT --reject-with icmp-port-unreachable -- stdout: ''
2015-02-01 17:22:53,625 fail2ban.action         [30576]: ERROR   iptables -I f2b-ssh-iptables-syno 1 -s 103.41.124.52 -j REJECT --reject-with icmp-port-unreachable -- stderr: 'iptables v1.4.21: unknown option "--reject-with"\nTry 'iptables -h\' or \'iptables --help\' for more information.\n'
2015-02-01 17:22:53,626 fail2ban.action         [30576]: ERROR   iptables -I f2b-ssh-iptables-syno 1 -s 103.41.124.52 -j REJECT --reject-with icmp-port-unreachable -- returned 2

Outro exemplo: 

2015-02-01 17:22:54,525 fail2ban.actions        [30576]: NOTICE  [ssh-iptables-syno] Ban 222.161.4.147
2015-02-01 17:22:54,855 fail2ban.action         [30576]: ERROR   iptables -I f2b-ssh-iptables-syno 1 -s 222.161.4.147 -j REJECT --reject-with icmp-port-unreachable -- stdout: ''
2015-02-01 17:22:54,857 fail2ban.action         [30576]: ERROR   iptables -I f2b-ssh-iptables-syno 1 -s 222.161.4.147 -j REJECT --reject-with icmp-port-unreachable -- stderr: 'iptables v1.4.21: unknown option "--reject-with"\nTry 'iptables -h\' or \'iptables --help\' for more information.\n'
2015-02-01 17:22:54,858 fail2ban.action         [30576]: ERROR   iptables -I f2b-ssh-iptables-syno 1 -s 222.161.4.147 -j REJECT --reject-with icmp-port-unreachable -- returned 2
2015-02-01 17:22:54,860 fail2ban.actions        [30576]: ERROR   Failed to execute ban jail 'ssh-iptables-syno' action 'iptables-multiport' info 'CallingMap({'ipjailmatches': <function <lambda> at 0x40dfe0b0>, 'matches': u'warning\t2015/02/01 17:14:04\tSYSTEM:\tUser [root] from [222.161.4.147] failed to log in via [SSH] due to authorization failure.\nwarning\t2015/02/01 17:14:06\tSYSTEM:\tUser [root] from [222.161.4.147] failed to log in via [SSH] due to authorization failure.\nwarning\t2015/02/01 17:14:09\tSYSTEM:\tUser [root] from [222.161.4.147] failed to log in via [SSH] due to authorization failure.', 'ip': '222.161.4.147', 'ipmatches': <function <lambda> at 0x40dfe0f0>, 'ipfailures': <function <lambda> at 0x40dfe030>, 'time': 1422807774.52478, 'failures': 3, 'ipjailfailures': <function <lambda> at 0x40dfe070>})': Error banning 222.161.4.147

- > trecho de log completo: link

Quando tento executar o comando iptables diretamente, como recebo o seguinte erro: 

# iptables -I f2b-ssh-iptables-syno 1 -s 222.161.4.147 -j REJECT --reject-with icmp-port-unreachable
iptables v1.4.21: unknown option "--reject-with"

Eu tenho outra máquina (12.04) com o iptables 1.4.21 e o fail2ban 0.9.1, onde tudo funciona perfeitamente. Aqui estão algumas informações do iptables para ambas as máquinas:

Maquina ruim: 

# iptables --version
iptables v1.4.21

# cat /proc/net/ip_tables_targets
LOG
ERROR

# cat /proc/net/ip_tables_matches
limit
state
udplite
udp
tcp
multiport
multiport
icmp

Boa máquina: 

# iptables --version
iptables v1.4.21

# cat /proc/net/ip_tables_targets
AUDIT
NFLOG
NFQUEUE
NFQUEUE
NFQUEUE
CLASSIFY
CONNMARK
CONNMARK
MARK
MARK
MARK
ULOG
TPROXY
TPROXY
MASQUERADE
REDIRECT
TOS
TOS
DSCP
LOG
TCPMSS
DNAT
SNAT
REJECT
ERROR

# cat /proc/net/ip_tables_matches
statistic
time
connlimit
realm
pkttype
connmark
connmark
physdev
string
string
owner
comment
conntrack
conntrack
conntrack
helper
limit
hashlimit
hashlimit
iprange
iprange
policy
owner
addrtype
addrtype
recent
state
length
ttl
tcpmss
multiport
multiport
tos
tos
dscp
icmp
udplite
udp
tcp

Alguma idéia de como abordar esses erros?

Atualizar Graças ao @ricardo, descobri que o iptables no meu Synology (DSM 5) está sem o alvo REJECT. Não sei como adicioná-lo embora.

    
por perelin 01.02.2015 / 18:40

2 respostas

1

Ok, percebi:

O fail2ban tenta inserir proibições usando o destino REJECT iptable que não está disponível nos sistemas Synology DSM5.x. (thx @ Ricardo)

A solução é editar a ação fail2ban e alterá-la de REJECT para DROP (que está disponível por padrão). No meu caso (fail2ban v0.8.14, action: iptables-allports) isso seria conseguido assim:

  1. crie um arquivo de configuração de tipo de bloco iptables local
  2. defina o tipo de bloco para DROP
  3. recarregar configuração do fail2ban

Como comandos: 

# echo "blocktype = DROP" > /etc/fail2ban/action.d/iptables-blocktype.local
# fail2ban-client reload

O iptables-blocktype.local é automaticamente carregado por action.d / iptables-blocktype.conf.

Este post no conselho de Synology alemão foi muito útil: link

    
por 02.02.2015 / 12:10
3

Tente ver quais módulos iptables são carregados na boa máquina e compare-os com os ruins: 

# cat /proc/net/ip_tables_matches
state
icmp
recent
multiport
multiport
udplite
udp
tcp

Verifique também se o alvo REJECT existe: 

# cat /proc/net/ip_tables_targets

REJECT
MASQUERADE
DNAT
SNAT
ERROR

Se você não vê REJECT na lista, então sua versão do iptables não o possui e as regras do fail2ban não poderão interagir com ele.

    
por 01.02.2015 / 19:26

Tags

1 IP público IP 1 NX ESXi para multipule VMs (com acesso externo) GPO ou scripts de logon para remover o acesso a pastas públicas de "bibliotecas"