Сообщения fly380

Fail2ban перестал работать jail

Форум — General

[root@relay ~]# fail2ban-client -V
0.10.4
[root@relay ~]# uname -a
FreeBSD 10.4-RELEASE-p5

Перестал отлавливать и банить jail apache-auth

[apache-auth]
enabled = true
filter = apache-auth
port     = http,https
logpath  = %(apache_error_log)s
bantime  = 604800m
findtime  = 10m
maxretry = 4

при проверке совпадения видит но никак на них не реагирует

[root@relay ~]# fail2ban-regex /var/log/httpd-error.log /usr/local/etc/fail2ban/filter.d/apache-auth.conf

Running tests
=============

Use   failregex filter file : apache-auth, basedir: /usr/local/etc/fail2ban
Use      datepattern : Default Detectors
Use         log file : /var/log/httpd-error.log
Use         encoding : UTF-8


Results
=======

Failregex: 25 total
|-  #) [# of hits] regular expression
|   1) [25] ^client (?:denied by server configuration|used wrong authentication scheme)\b
`-

Ignoreregex: 0 total

Date template hits:
|- [# of hits] date format
|  [25] {^LN-BEG}(?:DAY )?MON Day %k:Minute:Second(?:\.Microseconds)?(?: ExYear)?
`-

Lines: 25 lines, 0 ignored, 25 matched, 0 missed
[processed in 0.01 sec]

в логах ошибок не вижу

2019-02-06 16:42:14,998 fail2ban.jail           [28620]: INFO    Creating new jail 'apache-auth'
2019-02-06 16:42:14,998 fail2ban.jail           [28620]: INFO    Jail 'apache-auth' uses poller {}
2019-02-06 16:42:14,998 fail2ban.jail           [28620]: INFO    Initiated 'polling' backend
2019-02-06 16:42:15,007 fail2ban.filter         [28620]: INFO    Added logfile: '/var/log/httpd-error.log' (pos = 108771, hash = 68b329da9893e34099c7d8ad5cb9c940)
2019-02-06 16:42:15,007 fail2ban.filter         [28620]: INFO      maxRetry: 4
2019-02-06 16:42:15,008 fail2ban.filter         [28620]: INFO      encoding: UTF-8
2019-02-06 16:42:15,008 fail2ban.filter         [28620]: INFO      findtime: 600
2019-02-06 16:42:15,008 fail2ban.actions        [28620]: INFO      banTime: 36288000
2019-02-06 16:42:15,044 fail2ban.jail           [28620]: INFO    Jail 'apache-auth' started

Подскажите куда копать!?

fail2ban

fly380
(06.02.19 18:00:25 MSK)

9 комментариев

fwd http запросов для списка заблокированных IP

Форум — General

Возник вопрос ipfw конфиг

${fwcmd} table 1 flush
${fwcmd} zero
${fwcmd} -f flush
${fwcmd} nat 1 delete
# Сетевая карта в которую вставлен провод от провайдера.
	extif="igb1"
# Сетевая карта смотрящая во внутреннюю сеть.
	LanIn="igb0"
setup_loopback
# Заполнение таблиц запрета
   cat /etc/tables/full_block | while read ip; do
      ${fwcmd} table 1 add $ip 1
   done
# Исключение из запрета
   cat /etc/tables/AllowSites | while read ip; do
      ${fwcmd} table 2 add $ip 1
   done   

# kernel nat - most trendy.
${fwcmd} nat 1 config if ${extif} log reset same_ports
${fwcmd} add nat 1 all from any to any in via ${extif}
${fwcmd} add allow ip from table\(2\) to any in via ${extif}
${fwcmd} add deny log logamount 2048 all from table\(1\) to any in via ${extif}
${fwcmd} add nat 1 all from 10.10.0.0/21 to any out via ${extif}
${fwcmd} add allow ip from any to any out via ${extif}

${fwcmd} add allow all from any to any via igb0

# Доступ в DNS серверу.
${fwcmd} add allow tcp from any to ${IpOut} 53 in via ${extif} setup

# Запрещаем всё и в лог.
${fwcmd} add 65534 deny log all from any to any

нужно перенаправить запросы из локальной сети на список заблокированных IP table 1 и направить их на страницу http://10.10.1.2:9443 на которой сказано что доступ к этому сайту заблокировал админ. http://10.10.1.2:9443 поднял но никак не могу понять как перенаправить туда!?

ipfw

fly380
(20.01.19 21:58:09 MSK)

1 комментарий

Как в ipfw сделать исключение из таблицы?

Форум — General

Суть пробемы: есть таблица

cat /etc/tables/full_block | while read ip; do
      ${fwcmd} table 1 add $ip 1
   done
${fwcmd} add deny log logamount 2048 ip from table\(1\) to any in via ${extif}

содержащая 1483 записи отдельных IP и целых подсетей. Так вон нужно разрешить доступ (туда и обратно) к примеру IP 128.199.36.165 из заблокированной сети 128.199.0.0/16. Как это осуществить? Если перед

${fwcmd} add deny log logamount 2048 ip from table\(1\) to any in via ${extif}

добавляю

${fwcmd} add allow ip from 128.199.36.165 to any

сам шлюз начинает ходить на этот IP, а вот компы в локалке никак. Как разрешить всем из локальной сети ходить на этот IP?

P.S extif интерфейс смотрящий в нет

ipfw

fly380
(17.01.19 15:14:36 MSK)

5 комментариев

RSS подписка на новые темы