LINUX.ORG.RU
решено ФорумAdmin

Не работают правила iptables на роутере (fail2ban)

 ,


0

1

Всем доброго времени суток!

На сервачке работает fail2ban и нормально банит. В логах заметил, что с китайских айпишников так же щимятся по ssh на роутер, причем порт изменен. Решил заставить fail2ban банить сразу на роутере.

fail2ban у меня банит сразу по всем портам. В action.d/iptables-allports.conf перед iptables ... добавил строки ssh admin@192.168.1.1 -p2222

actionban = ssh admin@192.168.1.1 -p2222 iptables  -I fail2ban-<name> 1 -s <ip> -j <blocktype>
fail2ban банит, но на самом деле ничего не банится. Т.е. правила iptables создаются, но пакеты проходят.

Вот тестил с телефона, в забаненых висит айпишник 95.153.168.141, но толку нет, могу подключаться с телефона.

# ssh admin@192.168.1.1 -p2222 iptables -n -L -v
Chain INPUT (policy ACCEPT 40242 packets, 4507K bytes)
 pkts bytes target     prot opt in     out     source               destination         
  186 19209 fail2ban-APACHE  tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           
  252 32870 fail2ban-ProFTPD  tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           
  317 46431 fail2ban-SSH  tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           
    0     0 REJECT     udp  --  ppp+   *       0.0.0.0/0            0.0.0.0/0           udp dpt:1900 reject-with icmp-port-unreachable 
    0     0 REJECT     tcp  --  ppp+   *       0.0.0.0/0            0.0.0.0/0           tcp dpt:1900 reject-with icmp-port-unreachable 

Chain FORWARD (policy ACCEPT 450K packets, 262M bytes)
 pkts bytes target     prot opt in     out     source               destination         
  434 43012 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0           state INVALID 
18067 1005K TCPMSS     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp flags:0x06/0x02 TCPMSS clamp to PMTU 
 248K  235M MINIUPNPD  all  --  ppp+   !ppp+   0.0.0.0/0            0.0.0.0/0           

Chain OUTPUT (policy ACCEPT 41679 packets, 6434K bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain MINIUPNPD (1 references)
 pkts bytes target     prot opt in     out     source               destination         

Chain fail2ban-APACHE (1 references)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 REJECT     all  --  *      *       95.153.168.141       0.0.0.0/0           reject-with icmp-port-unreachable 
  186 19209 RETURN     all  --  *      *       0.0.0.0/0            0.0.0.0/0           

Chain fail2ban-ProFTPD (1 references)
 pkts bytes target     prot opt in     out     source               destination         
  252 32870 RETURN     all  --  *      *       0.0.0.0/0            0.0.0.0/0           

Chain fail2ban-SSH (1 references)
 pkts bytes target     prot opt in     out     source               destination         
  317 46431 RETURN     all  --  *      *       0.0.0.0/0            0.0.0.0/0 

Может тут виноваты правила роутера, которые висят в FORWARD? Как заставить банить злодеев и не сломать остальное?


но толку нет, могу подключаться с телефона

Подключаться к роутеру или к серверу? А так, по идее, нужно добавить в FORWARD обращение к fail2ban-цепочкам, так же как в INPUT.

mky ★★★★★
()
Ответ на: комментарий от mky

Не важно куда подкючаться извне, должен банить по всем портам. Уже пара спать, утром попробую так же добавить правила в FORWARD, потом отпишусь о результате.

rbxx
() автор топика

С fail2ban дела не имел.
По выхлопу iptables выходит, что банится только tcp трафик с адреса 95.153.168.141, но это правило ни разу не сработало. Судя по адресу сервера (192.168.1.1), ходите вы на него из локальной сети и адрес вашего устройства в этой сети, скорее всего, имеет форму 192.168.х.х, что не подпадает под блокирующее правило.

ddos3
()
Ответ на: комментарий от mky

Что то не спится думая о не завершенных ледах... Подправил правила в fail2ban, теперь так же добавляется в FORWARD.

Chain INPUT (policy ACCEPT 44397 packets, 5008K bytes)
 pkts bytes target     prot opt in     out     source               destination         
  117 22943 fail2ban-APACHE  tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           
  204 41031 fail2ban-ProFTPD  tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           
  291 59135 fail2ban-SSH  tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           
    0     0 REJECT     udp  --  ppp+   *       0.0.0.0/0            0.0.0.0/0           udp dpt:1900 reject-with icmp-port-unreachable 
    0     0 REJECT     tcp  --  ppp+   *       0.0.0.0/0            0.0.0.0/0           tcp dpt:1900 reject-with icmp-port-unreachable 

Chain FORWARD (policy ACCEPT 484K packets, 273M bytes)
 pkts bytes target     prot opt in     out     source               destination         
  583  117K fail2ban-APACHE  tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           
  568  113K fail2ban-ProFTPD  tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           
  576  113K fail2ban-SSH  tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           
  497 46311 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0           state INVALID 
20903 1174K TCPMSS     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp flags:0x06/0x02 TCPMSS clamp to PMTU 
 265K  244M MINIUPNPD  all  --  ppp+   !ppp+   0.0.0.0/0            0.0.0.0/0

Результат тот что надо. mky, спасибо за подсказку

rbxx
() автор топика
Ответ на: комментарий от ddos3

ddos3, fail2ban работает на сервере, он там нюхает логи и дает команды iptables, но таким образом банятся порты только на сервере. При этом можно извне подключиться на роутер и на другие девайсы во внутренней сети. А я хочу, чтоб сразу банились порты на роутере, который подключается к инету и раздает во внутреннюю сеть.

Теперь с правилами в FORWARD все работает как хотелось.

rbxx
() автор топика
15 декабря 2014 г.

Нужна помощь

Привет. Подскажи, пожалуйста, всю голову сломал. Как заставить fail2ban добавлять правила и для INPUT и для FORWARD. Два дня экспериментов удачи не принесли. Либо INPUT либо FORWARD. Как сделать, чтоб было два? Спасибо.

xohox
()
Ответ на: Нужна помощь от xohox

У меня банятся все порты, в /etc/fail2ban/action.d/iptables-allports.conf сделал такие изменения.

actionstart = ssh admin@192.168.1.1 iptables -N fail2ban-<name>
              ssh admin@192.168.1.1 iptables -A fail2ban-<name> -j RETURN
              ssh admin@192.168.1.1 iptables -I INPUT -p <protocol> -j fail2ban-<name>
              ssh admin@192.168.1.1 iptables -I FORWARD -p <protocol> -j fail2ban-<name>

actionstop = ssh admin@192.168.1.1 iptables -D INPUT -p <protocol> -j fail2ban-<name>
             ssh admin@192.168.1.1 iptables -D FORWARD -p <protocol> -j fail2ban-<name>
             ssh admin@192.168.1.1 iptables -F fail2ban-<name>
             ssh admin@192.168.1.1 iptables -X fail2ban-<name>

Остальные команды дефолтные. Перед iptables добавлено ssh admin@192.168.1.1, чтоб fail2ban по ssh выполнял команды на роутере.

rbxx
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.