fail2ban-apache não está bloqueando o IP

Navegue suas respostas
2

Estou tentando configurar o fail2ban, tentei acessar meu servidor da web várias vezes para acionar a regra e, olhando para o meu iptables, parece ter funcionado: 

Chain fail2ban-apache (1 references)
target     prot opt source               destination
DROP       all  --  192.168.1.70         0.0.0.0/0
RETURN     all  --  0.0.0.0/0            0.0.0.0/0

Mas se eu tentar acessar o servidor Apache a partir de .70, ainda posso!

Alguma idéia?

Lista completa conforme solicitado: 

Chain INPUT (policy ACCEPT 100998 packets, 137858737 bytes)
     pkts      bytes target        prot opt in     out     source         destination

       0        0 fail2ban-apache  tcp  --  *      *       0.0.0.0/0      0.0.0.0/0            multiport dports 80,443
    1925   322694 fail2ban-ssh     tcp  --  *      *       0.0.0.0/0      0.0.0.0/0            multiport dports 22

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
    pkts      bytes target     prot opt in     out     source             destination

Chain OUTPUT (policy ACCEPT 43963 packets, 7223477 bytes)
    pkts      bytes target     prot opt in     out     source             destination

Chain fail2ban-apache (1 references)
    pkts      bytes target     prot opt in     out     source             destination

       0        0 DROP       all  --  *      *       192.168.1.70         0.0.0.0/0
       0        0 RETURN     all  --  *      *       0.0.0.0/0            0.0.0.0/0

Chain fail2ban-ssh (1 references)
    pkts      bytes target     prot opt in     out     source             destination

    1925   322694 RETURN     all  --  *      *       0.0.0.0/0            0.0.0.0/0
    
por Karl Stoney 30.10.2012 / 16:16

3 respostas

1

O que aconteceu aqui é que, depois de tentar o SSH várias vezes, a regra fail2ban adicionou 192.168.1.70 à cadeia fail2ban-apache , mas essa cadeia é seguida apenas pelas portas 80 e 443. A porta 22 ainda é permitida porque 192.168.1.70 não foi adicionado à corrente fail2ban-ssh .

Você descobriria que não é possível fazer solicitações http ou https de seu servidor da Web a partir de 192.168.1.70 , mas ainda pode usar o SSH.

Você provavelmente desejará alterar a ação fail2ban da regra SSH para bloquear o SSH em vez de http e https.

    
por 30.10.2012 / 16:54
0

Uma das regras com maior precedência é permitir a comunicação antes que o firewall chegue à sua regra de bloqueio. Regras de bloqueio devem vir em primeiro lugar, ou muito perto de primeiro, em suas regras.

    
por 30.10.2012 / 16:28
0

Se você quiser bloquear todas as portas quando aparecer um ataque ssh bruteforce ou ataque apache, você precisa adicionar ou editar as linhas: 

banaction = iptables-allports

após as linhas [ssh] ou [apache] em /etc/fail2ban/jail.conf ou aqui para uma ação padrão 

# Default banning action (e.g. iptables, iptables-new,
# iptables-multiport, shorewall, etc) It is used to define
# action_* variables. Can be overridden globally or per
# section within jail.local file
banaction = iptables-allports

se você não quiser bloquear toda a porta, você pode adicionar o nome da porta, numérico nesta linha 

[apache]

enabled  = true
port     = http,https,dns,6969 <-
filter   = apache-auth
logpath  = /var/log/apache*/*error.log
maxretry = 6
    
por 25.10.2015 / 10:56

Tags

Onde está o histórico da faca que está sendo executada no servidor chef de código aberto? O apache 2.4 tem um limite rígido em conexões em algum lugar?