Fail2ban mit iptables

T

T0mcat

Member
Hallo allerseits,

Ich habe einige Probleme IP Adressen zu bannen mit fail2ban in Verbindung mit iptables.

Alles funktionniert so weit, bei mehr als 3 fehlerhaften Versuchen bei proFTP beispielsweise, bannt fail2ban meine IP.

Auszug aus der fail2ban.log
Code: 
2011-10-12 23:41:57,890 fail2ban.actions: INFO   Set banTime = 3600
2011-10-12 23:41:57,909 fail2ban.jail   : INFO   Jail 'postfix' started
2011-10-12 23:41:57,911 fail2ban.jail   : INFO   Jail 'proftpd' started
2011-10-12 23:41:57,915 fail2ban.jail   : INFO   Jail 'courierpop3' started
2011-10-12 23:41:57,926 fail2ban.jail   : INFO   Jail 'courierimap' started
2011-10-12 23:41:57,935 fail2ban.jail   : INFO   Jail 'ssh' started
2011-10-12 23:41:57,964 fail2ban.jail   : INFO   Jail 'apache' started
2011-10-12 23:43:08,031 fail2ban.actions: WARNING [proftpd] Ban 94.*.*.123

iptables -L -n ergibt folgendes :
Code: 
Chain fail2ban-proftpd (1 references)
target     prot opt source               destination         
DROP       all  --  94.*.*.123       0.0.0.0/0           
RETURN     all  --  0.0.0.0/0            0.0.0.0/0

Allerdings kann ich mich weiterhin mit meinem FTP Server verbinden !
Weiß jemand Rat ?
 
iptables -L
Code: 
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
fail2ban-ssh  tcp  --  anywhere             anywhere            tcp dpt:ssh 
fail2ban-apache  tcp  --  anywhere             anywhere            tcp dpt:www 
fail2ban-courierpop3  tcp  --  anywhere             anywhere            tcp dpt:pop3 
fail2ban-courierimap  tcp  --  anywhere             anywhere            tcp dpt:imap2 
fail2ban-proftpd  tcp  --  anywhere             anywhere            tcp dpt:ftp 
fail2ban-postfix  tcp  --  anywhere             anywhere            tcp dpt:smtp 
ISPCP_INPUT  all  --  anywhere             anywhere            

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         
ISPCP_OUTPUT  all  --  anywhere             anywhere            

Chain ISPCP_INPUT (1 references)
target     prot opt source               destination         
           tcp  --  anywhere             anywhere            tcp spt:submission 
           tcp  --  anywhere             anywhere            tcp spt:ssmtp 
           tcp  --  anywhere             anywhere            tcp spt:smtp 
           tcp  --  anywhere             anywhere            tcp dpt:imaps 
           tcp  --  anywhere             anywhere            tcp dpt:pop3s 
           tcp  --  anywhere             anywhere            tcp dpt:submission 
           tcp  --  anywhere             anywhere            tcp dpt:ssmtp 
           tcp  --  anywhere             anywhere            tcp dpt:smtp 
           tcp  --  anywhere             anywhere            tcp dpt:imap2 
           tcp  --  anywhere             anywhere            tcp dpt:pop3 
           tcp  --  anywhere             anywhere            tcp dpt:https 
           tcp  --  anywhere             anywhere            tcp dpt:www 
RETURN     all  --  anywhere             anywhere            

Chain ISPCP_OUTPUT (1 references)
target     prot opt source               destination         
           tcp  --  anywhere             anywhere            tcp dpt:submission 
           tcp  --  anywhere             anywhere            tcp dpt:ssmtp 
           tcp  --  anywhere             anywhere            tcp dpt:smtp 
           tcp  --  anywhere             anywhere            tcp spt:imaps 
           tcp  --  anywhere             anywhere            tcp spt:pop3s 
           tcp  --  anywhere             anywhere            tcp spt:submission 
           tcp  --  anywhere             anywhere            tcp spt:ssmtp 
           tcp  --  anywhere             anywhere            tcp spt:smtp 
           tcp  --  anywhere             anywhere            tcp spt:imap2 
           tcp  --  anywhere             anywhere            tcp spt:pop3 
           tcp  --  anywhere             anywhere            tcp spt:https 
           tcp  --  anywhere             anywhere            tcp spt:www 
RETURN     all  --  anywhere             anywhere            

Chain fail2ban-apache (1 references)
target     prot opt source               destination         
RETURN     all  --  anywhere             anywhere            

Chain fail2ban-courierimap (1 references)
target     prot opt source               destination         

Chain fail2ban-courierpop3 (1 references)
target     prot opt source               destination         
RETURN     all  --  anywhere             anywhere            

Chain fail2ban-postfix (1 references)
target     prot opt source               destination         
RETURN     all  --  anywhere             anywhere            

Chain fail2ban-proftpd (1 references)
target     prot opt source               destination         
DROP       all  --  meine-IP  anywhere            
RETURN     all  --  anywhere             anywhere            

Chain fail2ban-ssh (1 references)
target     prot opt source               destination         
RETURN     all  --  anywhere             anywhere
Meine jail.conf in Kurzform
Code: 
ignoreip = 127.0.0.1
bantime  = 3600
maxretry = 3
backend = polling
destemail = meine@email.de
banaction = iptables
mta = sendmail
protocol = tcp
action = %(action_mwl)s

[ssh]
enabled = true
port    = ssh
filter  = sshd
logpath  = /var/log/auth.log
maxretry = 3
Hier dann eine aktuelle Fehlermeldung in fail2ban.log
2011-10-13 16:58:14,175 fail2ban.actions: WARNING [courierpop3] Ban 216.178.65.222
2011-10-13 16:58:14,182 fail2ban.actions.action: ERROR iptables -n -L INPUT | grep -q fail2ban-courierpop3 returned 100
2011-10-13 16:58:14,182 fail2ban.actions.action: ERROR Invariant check failed. Trying to restore a sane environment
2011-10-13 16:58:14,968 fail2ban.actions: WARNING [courierimap] Ban 216.178.65.222
2011-10-13 16:58:14,974 fail2ban.actions.action: ERROR iptables -n -L INPUT | grep -q fail2ban-courierimap returned 100
2011-10-13 16:58:14,975 fail2ban.actions.action: ERROR Invariant check failed. Trying to restore a sane environment
2011-10-13 17:58:14,334 fail2ban.actions: WARNING [courierpop3] Unban 216.178.65.222
2011-10-13 17:58:15,917 fail2ban.actions: WARNING [courierimap] Unban 216.178.65.222
Click to expand...
 
Last edited by a moderator:
Du bist mir schon ein witziges Kerlchen! :D
Beklagst Dich über FTP, lieferst die Jail von SSH und Fehlermeldungen von IMAP.

Zu Deinem ersten Problem mit FTP:
Anhand der eingestellten iptables würde ich ebenfalls davon ausgehen, dass eine frische FTP-Connection nicht mehr funktionieren sollte. Aber vielleicht sieht noch jemand anderes ein Detail, was ich übersehen habe.

huschi.
 
Huschi said:
Du bist mir schon ein witziges Kerlchen! :D
Beklagst Dich über FTP, lieferst die Jail von SSH und Fehlermeldungen von IMAP.
Click to expand...

Haha :) Im ersten Beitrag steht die jail.local, in der die Einstellungen zu FTP, Postfix, Apache, Pop3 und IMAP zu finden sind.

Aber danke mal für deine Hilfe.
 
So Problem gelöst.

Ich habe jetzt mal bei action.d/iptables.conf folgende 2 Zeilen geändert :
Code: 
actionban = iptables -I fail2ban-<name> 1 -s <ip> -m state --state NEW,ESTABLISHED,RELATED -j DROP
...
actionunban = iptables -D fail2ban-<name> -s <ip> -m state --state NEW,ESTABLISHED,RELATED -j DROP

Vielen Dank für eure Hilfe.
 
You must log in or register to reply here.
Back
Top