Ich würde gerne wissen, ob es eine Möglichkeit gibt, herauszufinden, ob eine gesperrte IP immer noch versucht, Kontakt zu meinem Server aufzunehmen, und was sie dabei versucht.
Das fail2ban.log scheint anzuzeigen, wer gesperrt wurde, aber nicht, ob eine gesperrte IP weiterhin versucht, mich zu erreichen. Liege ich da falsch?
Vielen Dank im Voraus für jeden Hinweis, um diese Details nach Möglichkeit herauszufinden :)
Mit freundlichen Grüßen, Krys
Antwort1
Normalerweise sperrt Fail2ban bestimmte IP-Adressen auf der Grundlage bösartiger Muster in Ihren Anwendungsprotokolldateien. Normalerweise blockiert Fail2ban die betreffende IP-Adresse, indem es eine (temporäre) Firewall-Regel generiert und nur diese protokolliert.
Wenn die betreffende IP-Adresse gesperrt wurde, können diese IP-Adressen Ihre Anwendung nicht mehr erreichen und es werden keine Ereignisse mehr von diesen IP-Adressen in den Anwendungsprotokolldateien gefunden. Aus diesen Protokolldateien können Sie also nicht erfahren, ob die betreffende IP-Adresse sich zurückgezogen hat oder nicht und immer noch gegen die Firewall schlägt.
Sie können versuchen, die aktuellen Firewall-Statistiken zu überprüfen, um festzustellen, ob Letzteres der Fall ist. Die Ergebnisse können unterschiedlich ausfallen:
Auf einem Host banaction = firewallcmd-ipsetgibt es nur eine Regel und einen einzigen Zähler für alle blockierten IPs:
iptables -L -n -v
...
pkts bytes target prot opt in out source destination
6578 392K REJECT tcp -- * * 0.0.0.0/0 0.0.0.0/0 multiport dports 22 match-set f2b-sshd src reject-with icmp-port-unreachable
Damit ist es nicht mehr möglich, die blockierte(n) IP-Adresse(n) imf2b-sshd ipsetsind die Wiederholungstäter.
Auf einem Host, wo für jede blockierte IP eine eigene Regel gilt, sehe ich beispielsweise:
Chain fail2ban-SSH (1 references)
num pkts bytes target prot opt in out source destination
1 0 0 REJECT all -- * * 117.239.37.150 0.0.0.0/0 reject-with icmp-port-unreachable
2 4 412 REJECT all -- * * 117.253.208.237 0.0.0.0/0 reject-with icmp-port-unreachable
Dort wurden beispielsweise von der IP-Adresse vier Pakete gesendet, die von der Firewall protokolliert wurden, nachdem sie blockiert und vollständig zurückgesetzt 117.253.208.237worden waren .117.239.37.150
Wie in der anderen Antwort erwähnt, können Sie fail2ban anweisen, eine Firewall-Regel zu erstellen, die Protokollereignisse generiert, die Sie dann nachbearbeiten können, um ähnliche Erkenntnisse zu erhalten. Dies ist jedoch nichts, was fail2ban nativ verarbeitet und darüber berichtet.
Antwort2
Ich denke, was Sie suchen istAktionen. Fail2ban kann beim Sperren/Entsperren einen bestimmten Befehl ausführen, und es sieht so aus, als obDasist das, was Sie suchen. Wie bereits erwähnt in derStandardkonfigurationsollten Sie eine Datei erstellen, jail.dum das Verhalten für die Dienste anzupassen, die Sie weiterhin protokollieren möchten, d. h.jail.d/customisation.local