fail2ban не понятно работает

0

1

Добрый день, я что-то запутался, помогите пожалуйста. Дано: Сервер Asterisk (FreePBX Distro последней версии) за натом, в качестве роутера тупой TP-Link, порты проброшены все работает. Настраеваю fail2ban. Вижу и через web консоль и через командную что есть атаки на сервер. Вижу ip адреса атакующих.

[root@asterisk action.d]# grep -o '[0-9]\{1,3\}\.[0-9]\{1,3\}\.[0-9]\{1,3\}\.[0-9]\{1,3\}' /var/log/fail2ban.log | sort -u
163.172.226.178
46.166.151.132

Смотрю есть ли правила в iptables

Chain INPUT (policy ACCEPT)
target     prot opt source               destination
fail2ban-SIP  all  --  0.0.0.0/0            0.0.0.0/0
fpbxfirewall  all  --  0.0.0.0/0            0.0.0.0/0

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Chain fail2ban-SIP (1 references)
target     prot opt source               destination
REJECT     all  --  46.166.151.132       0.0.0.0/0            reject-with icmp-port-unreachable
REJECT     all  --  163.172.226.178      0.0.0.0/0            reject-with icmp-port-unreachable
RETURN     all  --  0.0.0.0/0            0.0.0.0/0

Chain fpbx-rtp (1 references)
target     prot opt source               destination
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0            udp dpts:10000:20000
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0            udp dpts:4000:4999

Chain fpbxattacker (6 references)
target     prot opt source               destination
           all  --  0.0.0.0/0            0.0.0.0/0            recent: SET name: ATTACKER side: source mask: 255.255.255.255
DROP       all  --  0.0.0.0/0            0.0.0.0/0

Chain fpbxblacklist (1 references)
target     prot opt source               destination

Chain fpbxfirewall (1 references)
target     prot opt source               destination
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0
ACCEPT     all  --  0.0.0.0/0            255.255.255.255
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0            PKTTYPE = multicast
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0            udp spts:67:68 dpts:67:68
fpbx-rtp   all  --  0.0.0.0/0            0.0.0.0/0
fpbxblacklist  all  --  0.0.0.0/0            0.0.0.0/0
fpbxsignalling  all  --  0.0.0.0/0            0.0.0.0/0
fpbxsmarthosts  all  --  0.0.0.0/0            0.0.0.0/0
fpbxregistrations  all  --  0.0.0.0/0            0.0.0.0/0
fpbxnets   all  --  0.0.0.0/0            0.0.0.0/0
fpbxhosts  all  --  0.0.0.0/0            0.0.0.0/0
fpbxinterfaces  all  --  0.0.0.0/0            0.0.0.0/0
fpbxreject  all  --  0.0.0.0/0            0.0.0.0/0
fpbxrfw    all  --  0.0.0.0/0            0.0.0.0/0            mark match 0x2/0x2
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
fpbxlogdrop  all  --  0.0.0.0/0            0.0.0.0/0

Видно, что адреса попали в фаервол, НО! Включаю sngrep и вижу попытки регистрации

                                                            xREGISTER sip:МОЙ IP SIP/2.0
          163.172.226.178:51703           192.168.0.117:5060xVia: SIP/2.0/UDP 163.172.226.178:51703;branch=z9hG4bK1424259351
          qqqqqqqqqqwqqqqqqqqq          qqqqqqqqqqwqqqqqqqqqxMax-Forwards: 70
                    x          REGISTER           x         xFrom: <sip:4324@МОЙ IP>;tag=198940810
  10:00:50.896852   x qqqqqqqqqqqqqqqqqqqqqqqqqq> x         xTo: <sip:4324@МОЙ IP>
                    x                             x         xCall-ID: 958375019-649756175-69758134
                    x                             x         xCSeq: 1 REGISTER
                    x                             x         xContact: <sip:4324@163.172.226.178:51703>
                    x                             x         xContent-Length: 0
                    x                             x         xUser-Agent: pplsip
                    x                             x         x

НУ ок. Думаю может вместо reject исправить на DROP, сделал, бесполезно. ОК, думаю может поставить самому правило в iptables

iptables -I INPUT 1 -s 163.172.226.178 -j DROP

Правило встало в самый верх но толку нет, опять в sngrep попытки регистрации. Ок, решил проверить тестом. Забанил сам себя, телефон не работает, но sngrep пишет о попытках регистрации. разбанил. Регистрация прошла.

Я чет не понял, как iptables работает, почему пакеты можно sngrep увидеть. Или sngrep типа tcpdump работает на транспортном уровне до iptables?

Ссылка

И еще попутный вопрос, зачем по дефолту в fail2ban пихают reject-with icmp-port-unreachable а не DROP ? в чем тут тайный смысл.

fordiego
(21.09.18 09:13:21 MSK) автор топика

Ответ на: комментарий от fordiego 21.09.18 09:13:21 MSK

Реджект если дошел, источник сразу закрывает соединение. Дроп по таймауту. Щадящий режим для источника и транзитных коннтреков.

anonymous
(21.09.18 09:44:55 MSK)

Ответ на: комментарий от anonymous 21.09.18 09:44:55 MSK

Надо этих гадов DROP-пать, чтоб ждали подольше )))

fordiego
(21.09.18 09:47:11 MSK) автор топика

Ответ на: комментарий от fordiego 21.09.18 09:47:11 MSK

tcpdump видит пакеты до нетфильтра. если обратных пакетов соединения нет и пуст лог приложения, значит работает.

anonymous
(21.09.18 10:06:24 MSK)

Ответ на: комментарий от anonymous 21.09.18 10:06:24 MSK

про tcpdump знал, про sngrep нет ((( потратил на брожение мозгов пол дня ))) всем спасибо закрываем.

fordiego
(21.09.18 10:09:05 MSK) автор топика

ваш тплинк при этом тоже держит эти соединения в коннтреке и скорее всего там всего 4096. легкая атака и все закроется.

anonymous
(21.09.18 10:15:34 MSK)

Похожие темы