fail2ban проблема

Я такое видел когда iptables не установлен. Он обычно в логе ошибку придет что не может выполнить команду (ну либо он не включен)

Ещё можно увеличить bantime

Тайм вобще установлен в -1. А актион настроен через роуте. Как бы iptables ни причем.

[proftpd]
enabled = true
port = ftp
filter = proftpd
action = iptables[name=proftpd, port=ftp, protocol=tcp, blocktype=DROP]

logpath = /var/log/proftpd/proftpd.log
maxretry = 2
findtime = 7200
bantime = 3600

И покажи лог fail2ban, где происходит бан, и iptables -vnL после бана.
Зачем здесь route.

[proftpd]

enabled = true port = ftp,ftp-data,ftps,ftps-data findtime = 31900 filter = proftpd bantime = -1 action = route logpath = /var/log/proftpd/proftpd.log maxretry = 2

2024-11-02 09:34:14,205 fail2ban.filter         [3276]: INFO    [proftpd] Found 45.74.22.13 - 2024-11-02 09:34:14

2024-11-02 09:34:14,379 fail2ban.actions [3276]: WARNING [proftpd] 45.74.22.13 already banned

2024-11-02 09:34:19,804 fail2ban.filter [3276]: INFO [proftpd] Found 45.74.22.13 - 2024-11-02 09:34:19
Не получилось в коде Лора. 20

Когда перестал банить я применил action = route В надежде, что это что то изменит.

fail2ban относится к IDS. Что конкретно защищать?

Порты сервисов.

Понятно. Ну я тогда тоже защищусь от протоков с форума.

Удачи Вам.

И вам того же!

fail2ban не очень хотя бы потому, что пистоном. Используйте SSHGuard или CrowdSec.

Пользую что надежно и проверено временем.

Думаю пользоваться тем, что кто-то считает надёжным и проверенным временем.

Пофиксил. Ибо по вопросу явно впервые столкнулись с задачей.

Вот и я тоже. ф2бан исправно робит на старом почтовике Убунте14. А Это на Убунте19 с системд. Есть подозрения.

Тут прикол:

root@proxy2:/etc/squid# route Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface

45.74.22.13 - 255.255.255.255 !H 0 - 0 - 1

Тебя не смущает вид твоих комментариев?

https://www.linux.org.ru/help/markdown.md

По теме. Простой поиск по fail2ban + ip route add показывает, что не всё так, как написано в route.conf. Либо пробуй правки, либо определись с реализацией firewall на системе, и выбери соответствующий action.

Зачем здесь route.

Почитай /etc/fail2ban/action.d/route.conf

# This is for blocking whole hosts through blackhole routes.
#
# PRO:
#   - Works on all kernel versions and as no compatibility problems (back to debian lenny and WAY further).
#   - It's FAST for very large numbers of blocked ips.
#   - It's FAST because it Blocks traffic before it enters common iptables chains used for filtering.
#   - It's per host, ideal as action against ssh password bruteforcing to block further attack attempts.
#   - No additional software required beside iproute/iproute2
#
# CON:
#   - Blocking is per IP and NOT per service, but ideal as action against ssh password bruteforcing hosts

Ну типа всё круто, бла бла бла.

Ну типа всё круто, бла бла бла.

И что тут крутого? Завалить весь хост из за одной атаки?
А если там за нат еще 50 человек сидит и хотят просто сходить к тебе на веб?

fail2ban пользую только для proftpd и sshd. Соответственно никого не обижу за натом. Решил прверить с того места когда началась эта проблема. Тогда игрался с пробросами портов. Потом нашел простое решение: RINETD. Наваянные правила iptables удалил. Но! это забыл: echo 1 | tee /proc/sys/net/ipv4/ip_forward. Cей убрал. Нападений пока нет. Хотя может праздники-выходные и никому нет дела до моего сервера.

И что тут крутого?

Это был сарказм.

Завалить весь хост из за одной атаки?

Варианты?

Нападений пока нет. Хотя может праздники-выходные и никому нет дела до моего сервера.

Кто-то чистит перед тобой? А то сервера без имени, и те сканируют тупо по ip почти по всем портам. А sshd всегда полон, даже с отключенным логином по паролю.

Хотя может праздники-выходные и никому нет дела до моего сервера.

То есть ты считаешь, что кто-то с 9:00 до 18:00 в рабочие дни пытается сбрутить твой сервак…? =)

Наваянные правила iptables удалил.

Т.е. firewall тебе на сервере не нужен?

Но! это забыл: echo 1 | tee /proc/sys/net/ipv4/ip_forward. Cей убрал.

Если у тебя на сервере один интерфейс и через него интернет раздавать не планируется, то так и должно быть. 0.

Нападений пока нет. Хотя может праздники-выходные и
никому нет дела до моего сервера.

У меня на ssh бывает и несколько в минуту, про smtp я уже молчу.
По ftp, я б сказал, крайне редко.

На сервере файл2бан работает. Как у Большинства тут, все правила iptaвles в скрипте. Который в загрузке и с коментами. На сервере три интерфейса.

1. локал

2.провайдер NR1

3. провайдер NR 2 (приоритет ниже).

И ssh бомбят. В этот раз напали из домена .bg