У меня есть проблема с fail2ban
здесь. (Конфигурации видят ниже),
Прежде чем у меня был он, я использовал
nc -4 -d -n -z -w 1 <SERVER IP> 22
от моего ПК в сценарии, чтобы проверить, достижим ли сервер на SSH (должен возвратиться 1
).
С fail2ban, активированным, это возвращается 0
хотя я могу соединиться ssh <USER>@<SERVER IP>
столь же ожидаемый - я использую пары ключей для аутентификации.
У меня есть iptables брандмауэр на основе этого учебного руководства, которое похоже на это:
-P INPUT DROP
-P FORWARD DROP
-P OUTPUT ACCEPT
-N ICMP
-N TCP
-N UDP
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m conntrack --ctstate INVALID -j DROP
-A INPUT -p udp -m conntrack --ctstate NEW -j UDP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m conntrack --ctstate NEW -j TCP
-A INPUT -p icmp -m conntrack --ctstate NEW -j ICMP
-A INPUT -p udp -j REJECT --reject-with icmp-port-unreachable
-A INPUT -p tcp -j REJECT --reject-with tcp-reset
-A INPUT -j REJECT --reject-with icmp-proto-unreachable
-A ICMP -p icmp -j ACCEPT
-A TCP -p tcp -m tcp --dport 22 -j ACCEPT
-A TCP -p tcp -m tcp --dport 80 -j ACCEPT
-A TCP -p tcp -m tcp --dport 433 -j ACCEPT
-A TCP -p tcp -m tcp --dport 10000 -j ACCEPT
Наличие fail2ban
установленный и активированный конфигурацией ниже моего iptables похожи на это
-P INPUT DROP
-P FORWARD DROP
-P OUTPUT ACCEPT
-N ICMP
-N TCP
-N UDP
-N f2b-recidive
-N f2b-sshd
-N f2b-sshd-ddos
-N f2b-webmin-auth
-A INPUT -p tcp -j f2b-recidive
-A INPUT -p tcp -m multiport --dports 10000 -j f2b-webmin-auth
-A INPUT -p tcp -m multiport --dports 22 -j f2b-sshd-ddos
-A INPUT -p tcp -m multiport --dports 22 -j f2b-sshd
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m conntrack --ctstate INVALID -j DROP
-A INPUT -p udp -m conntrack --ctstate NEW -j UDP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m conntrack --ctstate NEW -j TCP
-A INPUT -p icmp -m conntrack --ctstate NEW -j ICMP
-A INPUT -p udp -j REJECT --reject-with icmp-port-unreachable
-A INPUT -p tcp -j REJECT --reject-with tcp-reset
-A INPUT -j REJECT --reject-with icmp-proto-unreachable
-A ICMP -p icmp -j ACCEPT
-A TCP -p tcp -m tcp --dport 22 -j ACCEPT
-A TCP -p tcp -m tcp --dport 80 -j ACCEPT
-A TCP -p tcp -m tcp --dport 433 -j ACCEPT
-A TCP -p tcp -m tcp --dport 10000 -j ACCEPT
-A f2b-recidive -j RETURN
-A f2b-sshd -j RETURN
-A f2b-sshd-ddos -j RETURN
-A f2b-webmin-auth -j RETURN
Какова проблема здесь?
Мое первое предположение было бы некоторым неправильным chainlink в iptables, но так как я могу соединиться нормальный, я довольно беспомощен здесь.
Я установил fail2ban
sudo apt install fail2ban
и имейте в основном установку по умолчанию. Только добавленный те два файла:
/etc/fail2ban/jail.d/defaults.local
[DEFAULT]
ignoreip = 127.0.0.1/8 <MY PC'S IP>/32
bantime = 3600
findtime = 600
maxretry = 3
#
# ACTIONS
#
destemail = <MY MAIL ADDRESS>
sender = <SENDER ADDRESS>
mta = sendmail
action = %(action_mwl)s
Я уже добавил MY PC'S IP
здесь, потому что это получило заблокированное использование nc
управляйте в первый раз.
/etc/fail2ban/jail.d/jail.local
[sshd]
enabled = true
[sshd-ddos]
enabled = true
[webmin-auth]
enabled = true
[recidive]
enabled = true
logpath = /var/log/fail2ban.log
banaction = iptables-allports
bantime = 604800 ; 1 week
findtime = 86400 ; 1 day
maxretry = 5
Я просто решил свою проблему: Я думал неправильно / просто запутался.
nc
возвраты 0
на успехе не при отказе! Мой сценарий хорошо работает теперь, и я нашел подсказку здесь => В ударе 0
означает верный и 1
ложь средств.