Fail2Ban блокирует мой IP-адрес из-за заблокированного трафика, как я могу остановить его от запрета?
Ребята, похоже, эта проблема больше связана с тем, какой тип накопителя у вас меньше, чем недостаточно свободного места, я обнаружил, что простой способ решить эту проблему - загрузить ubuntu 10.10 (это не обязательно этот verison, это просто самый последний вариант) dvd. Эти «DVD-версии» имеют размер 4 ГБ, как дополнение к обычному файлу ISO 690-700mb. Скажите, пожалуйста, если это также решило вашу проблему.
2 ответа
Основная проблема здесь - многоадресная рассылка (на основе ваших журналов). IGMP означает «протокол управления группами Интернета» и является протоколом связи, используемым хостами и соседними маршрутизаторами в сетях IPv4 для установления членства в групповой группе. В большинстве сетей это не обязательно и может быть безопасно проигнорировано.
IP-адрес, который вы видите в пункте назначения, является стандартным многоадресным адресом - 224.0.0.1. Скорее всего, ваши системы пытаются использовать IGMP. Чтобы этого избежать, настройте правило раньше, чем правило LOG, которое просто делает DROP для многоадресных пакетов. Например:
sudo iptables -I INPUT 1 -m pkttype --pkt-type multicast -j DROP
Это снизит трафик и ранее записи триггера триггера - это значит, что Fail2Ban не видит сообщение журнала об этом, и поэтому вы можете просто «отбросьте» трафик, и F2B проигнорирует его, поскольку он не знает об этом из журналов.
(Обратите внимание, что если вы используете UFW, может быть сложнее добавить этот тип правил -
Обратите внимание, что у нас есть PSAD-ящик в сети одного клиента, на Ubuntu, и мы просто молча отбрасываем многоадресный трафик, поскольку нам все равно, что IGMP / многоадресный трафик в сетях, которые мы контролируем, - мы запускаем только на другой трафик, которого мы не ожидаем (наши обычные сетевые сканеры для определения систем изгоев, которые не являются нашими, например, являются белыми и «DROP» 'd ранее в наборе правил, поэтому PSAD и F2B этого не видят.)
Связанные внешние ресурсы: https://ubuntuforums.org/archive/index.php/t-2231716.htmlОсновная проблема здесь - многоадресная рассылка (на основе ваших журналов). IGMP означает «протокол управления группами Интернета» и является протоколом связи, используемым хостами и соседними маршрутизаторами в сетях IPv4 для установления членства в групповой группе. В большинстве сетей это не обязательно и может быть безопасно проигнорировано.
IP-адрес, который вы видите в пункте назначения, является стандартным многоадресным адресом - 224.0.0.1. Скорее всего, ваши системы пытаются использовать IGMP. Чтобы этого избежать, настройте правило раньше, чем правило LOG, которое просто делает DROP для многоадресных пакетов. Например:
sudo iptables -I INPUT 1 -m pkttype --pkt-type multicast -j DROP
Это снизит трафик и ранее записи триггера триггера - это значит, что Fail2Ban не видит сообщение журнала об этом, и поэтому вы можете просто «отбросьте» трафик, и F2B проигнорирует его, поскольку он не знает об этом из журналов.
(Обратите внимание, что если вы используете UFW, может быть сложнее добавить этот тип правил -
Обратите внимание, что у нас есть PSAD-ящик в сети одного клиента, на Ubuntu, и мы просто молча отбрасываем многоадресный трафик, поскольку нам все равно, что IGMP / многоадресный трафик в сетях, которые мы контролируем, - мы запускаем только на другой трафик, которого мы не ожидаем (наши обычные сетевые сканеры для определения систем изгоев, которые не являются нашими, например, являются белыми и «DROP» 'd ранее в наборе правил, поэтому PSAD и F2B этого не видят.)
Связанные внешние ресурсы: https://ubuntuforums.org/archive/index.php/t-2231716.html