fail2ban diz banido, mas ainda pode fazer login

Question

fail2ban diz banido, mas ainda pode fazer login

#1 resposta do (2 votos)

2

Executando o fail2ban 0.8.14 no CentOS 6.5 com o Python 2.6.6, o fail2ban coloca meu IP na lista banida, mas na verdade não me impede de efetuar login.

Aqui está um exemplo de banimento falho em /var/log/fail2ban.log (eu acho?):

ERROR iptables -D fail2ban-SSH -s xxx.xxx.xxx.xxx -j REJECT --reject-with icmp-port-unreachable returned 100

Curiosamente, eu tenho isso trabalhando em duas outras máquinas, uma delas é o CentOS 6.6 e a outra é o CentOS 6.5, e os arquivos jail.conf e jail.local são idênticos em ambos.

Reiniciei o fail2ban várias vezes, adicionei a diretiva Port = <my number> ao arquivo jail.local em [ssh-iptables] , mas ainda assim não teve sorte.

Mais uma vez, ao executar fail2ban-client status ssh-iptables , o IP aparece na lista de IP proibida, mas ainda posso fazer login.

Alguma idéia do que pode estar causando o problema?

ATUALIZAÇÃO: parece funcionar de forma intermitente. Após cerca de 20 minutos de espera, ele finalmente impediu meu login. Então eu acho que há apenas um grande atraso?

ssh fail2ban centos6

por AmadeusDrZaius 23.04.2015 / 20:41

1 resposta

Tags ssh fail2ban centos6

Obtendo um servidor desktop remoto em execução no Ubuntu 14.04 xen vm memória ausente

score 2 · Accepted Answer

Teria sido útil ver o estado dos seus iptables enquanto você está enfrentando o problema.
O fail2ban na verdade não executa o bloqueio de solicitações de conexão, ele apenas adiciona as regras ao firewall iptables quando ele detecta uma ação banível, conforme definido no seu jail.conf.local .
Então você deve primeiro verificar o estado do iptables

sudo iptables -S

e certificando-se de que a regra DROP correspondente à sua máquina está tentando ser banida está presente e configurada corretamente.
o log:

ERROR iptables -D fail2ban-SSH -s xxx.xxx.xxx.xxx -j REJECT --reject-with icmp-port-unreachable returned 100

parece que o fail2ban tentou desbanir o xxx.xxx.xxx.xxx IP (após o período de unban), removendo a regra DROP da cadeia fail2ban-ssh.
Parece que ele retornou um erro 100 código de saída, possivelmente porque a regra que estava tentando -D (delete) não estava presente, o que também pode explicar porque você não está bloqueado - a regra DROP não foi carregada corretamente no iptables .