SaltyBallz
New Member
Hi Leute!
ich hab folgendes Problem:
ich hab mir fail2ban drauf gemacht, mein Server hat Debian 3.1 deswegen bin ich bisher nur bei Backport von fail2ban 0.6.1. Gemacht hab ich das weil ich ununterbrochen Brute Force Attacken hab auf ssh und ftp und meine mail queue volläuft.
Der Haken ist jetzt dass fail2ban zwar erkennt wenn ne ip mehr als die erlaubten (bei mir 3) Versuche macht und dann meldet dass der gebanned ist aber es hat keinen Effekt. Habs mal mit falschen ssh Logins versucht und das kam dabei raus:
iptables -L
.
..
...
Chain fail2ban-SSH (1 references)
target prot opt source destination
DROP all -- dslb-123-456-789-010.pools.arcor-ip.net anywhere
RETURN all -- anywhere anywhere
Der Eintrag ist also drin allerdings kann ich immernoch weiterversuchen und werde nie aus meiner Session geworfen (ausser von ssh selber nach zu vielen versuchen) und kann sogar neue aufmachen. Fällt euch was dazu ein?
das Problem stört mich noch am wenigsten bei ssh weil ich den Port umgelegt hab und seither ist da halbwegs Ruhe aber bei ftp (proftp) und v.a. qmail wärs dringend weil wirklich unglaublich viele Relay Versuche da auflaufen.
wo ich grad dabei bin - hat einer ne fail2ban 0.6.1 Config für qmail?
Danke schon mal für jede Hilfe!
Salty
ich hab folgendes Problem:
ich hab mir fail2ban drauf gemacht, mein Server hat Debian 3.1 deswegen bin ich bisher nur bei Backport von fail2ban 0.6.1. Gemacht hab ich das weil ich ununterbrochen Brute Force Attacken hab auf ssh und ftp und meine mail queue volläuft.
Der Haken ist jetzt dass fail2ban zwar erkennt wenn ne ip mehr als die erlaubten (bei mir 3) Versuche macht und dann meldet dass der gebanned ist aber es hat keinen Effekt. Habs mal mit falschen ssh Logins versucht und das kam dabei raus:
iptables -L
.
..
...
Chain fail2ban-SSH (1 references)
target prot opt source destination
DROP all -- dslb-123-456-789-010.pools.arcor-ip.net anywhere
RETURN all -- anywhere anywhere
Der Eintrag ist also drin allerdings kann ich immernoch weiterversuchen und werde nie aus meiner Session geworfen (ausser von ssh selber nach zu vielen versuchen) und kann sogar neue aufmachen. Fällt euch was dazu ein?
das Problem stört mich noch am wenigsten bei ssh weil ich den Port umgelegt hab und seither ist da halbwegs Ruhe aber bei ftp (proftp) und v.a. qmail wärs dringend weil wirklich unglaublich viele Relay Versuche da auflaufen.
wo ich grad dabei bin - hat einer ne fail2ban 0.6.1 Config für qmail?
Danke schon mal für jede Hilfe!
Salty
Last edited by a moderator: