Fail2Ban membuka blokir ipaddress

11

Saya mencoba membuka blokir alamat IP tanpa memulai ulang Fail2Ban setiap kali, apa cara terbaik untuk melakukan ini? Atau bisakah Anda mengarahkan saya ke arah panduan yang bermanfaat?

Seperti yang Anda lihat di bawah alamat IP yang saya coba hapus adalah: 89.31.259.161

# iptables -L -n

    Chain INPUT (policy DROP)
    target     prot opt source               destination
    fail2ban-apache-badbots  tcp  --  0.0.0.0/0            0.0.0.0/0           multiport dports 80,443
    fail2ban-httpd  tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:80
    fail2ban-sasl  tcp  --  0.0.0.0/0            0.0.0.0/0           multiport dports 25,465,143,220,993,110,995
    fail2ban-SSH  tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:22
    fail2ban-httpd  tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:443
    fail2ban-httpd  tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:80
    fail2ban-vsftpd  tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:21
    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           multiport dports 80,443,25,465,110,995,143,993,587,465,21,20,2855
    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0
    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:54000

    Chain FORWARD (policy DROP)
    target     prot opt source               destination

    Chain OUTPUT (policy ACCEPT)
    target     prot opt source               destination

    Chain fail2ban-SSH (1 references)
    target     prot opt source               destination
    RETURN     all  --  0.0.0.0/0            0.0.0.0/0

    Chain fail2ban-apache-badbots (1 references)
    target     prot opt source               destination
    RETURN     all  --  0.0.0.0/0            0.0.0.0/0

    Chain fail2ban-httpd (3 references)
    target     prot opt source               destination
    DROP       all  --  89.31.259.161        0.0.0.0/0
    DROP       all  --  89.31.259.161        0.0.0.0/0
    RETURN     all  --  0.0.0.0/0            0.0.0.0/0
    RETURN     all  --  0.0.0.0/0            0.0.0.0/0
    RETURN     all  --  0.0.0.0/0            0.0.0.0/0

Chain fail2ban-sasl (1 references)
target     prot opt source               destination
RETURN     all  --  0.0.0.0/0            0.0.0.0/0

Chain fail2ban-vsftpd (1 references)
target     prot opt source               destination
RETURN     all  --  0.0.0.0/0            0.0.0.0/0

Saya dapat menjalankan: iptables -D fail2ban-httpd -s 89.31.259.161 -j DROPmeskipun ini hanya menghapus salah satu baris.

John Magnolia
sumber

Jawaban:

15

Gunakan --line-numbersopsi untuk iptables untuk mendapatkan daftar yang menunjukkan nomor baris untuk aturan dalam rantai misalnya

iptables -L fail2ban-SSH -v -n --line-numbers
Chain fail2ban-SSH (1 references)
num   pkts bytes target     prot opt in     out   source              destination
1       19  2332 DROP       all  --  *      *     193.87.172.171      0.0.0.0/0
2       16  1704 DROP       all  --  *      *     222.58.151.68       0.0.0.0/0
3       15   980 DROP       all  --  *      *     218.108.224.81      0.0.0.0/0
4        6   360 DROP       all  --  *      *     91.196.170.231      0.0.0.0/0
5     8504  581K RETURN     all  --  *      *     0.0.0.0/0           0.0.0.0/0

Kemudian gunakan iptables -D chain rulenumuntuk menghapus yang tidak Anda inginkan misalnya

iptables -D fail2ban-SSH 1

akan menghapus

1       19  2332 DROP       all  --  *      *     193.87.172.171      0.0.0.0/0

baris dari contoh di atas. Perhatikan bahwa semuanya dinomori ulang sehingga Anda dapat menjalankan perintah yang sama lagi untuk menghapus aturan 1 baru di rantai.

user9517
sumber
Ini akan berfungsi - SAMPAI Anda me-restart server atau fail2ban. Jawaban dari @Ndianabasi lebih baik.
TheStoryCoder
5

Dari pengalaman saya dengan Fail2ban, membatalkan pencekalan alamat IP secara langsung melalui IPTABLES akan mengakibatkan IP diblokir lagi oleh Fail2ban jika layanan Fail2ban dimulai kembali dalam Waktu Ban.

Karena itu, cara yang paling efektif dan bersih untuk membatalkan pencekalan alamat IP yang dilarang oleh Fail2ban adalah menggunakan fail2ban-client.

Langkah 1: Catat Nama Penjara dengan memeriksa log Fail2ban

sudo zgrep 'Ban' /var/log/fail2ban.log

Output sampel:

2017-11-03 04: 30: 14.509 fail2ban.actions [25091]: PEMBERITAHUAN [nginx-badbots] Ban 47.15.15.49 2017-11-03 04: 37: 29.597 fail2ban.actions [27065]: PEMBERITAHUAN [nginx-badbots] Larangan 103.31.87.187 2017-11-03 04: 37: 30.124 fail2ban.actions [27065]: PEMBERITAHUAN [nginx-badbots] Larangan 201.33.170.251 2017-11-03 04: 37: 30.364 fail2ban.actions [27065]: PEMBERITAHUAN [ nginx-badbots] Larangan 47.15.15.49 2017-11-03 04: 38: 06.754 fail2ban.actions [27065]: PEMBERITAHUAN [vsftpd] Larangan 128.20.12.68

Jika kami tertarik untuk membatalkan pemblokiran alamat IP - 128.20.12.68 - maka nama Penjara adalah vsftpd.

Langkah 2: Batalkan pemblokiran alamat IP menggunakan fail2ban-client. Format umum adalah:

sudo fail2ban-client set [JAIL] unbanip [xx.xx.xx.xx]

Sekarang, jalankan:

sudo fail2ban-client set vsftpd unbanip 128.20.12.68

Output sampel:

128.20.12.68

Langkah 3: Konfirmasikan pembatalan dari log Fail2ban

sudo tail -f /var/log/fail2ban.log

Output sampel:

2017-11-03 04: 38: 13.332 fail2ban.actions [27065]: PEMBERITAHUAN [vsftpd] Unban 128.20.12.68

Ndianabasi
sumber
1
Ini harus menjadi jawaban yang diterima.
TheStoryCoder