centos8 fail2ban no funciona

Question 1

Si realmente estás usando firewalld, asegúrate de usar un archivo compatible con firewalld, banactioncomo firewallcmd-ipset.

Answer

Si realmente estás usando firewalld, asegúrate de usar un archivo compatible con firewalld, banactioncomo firewallcmd-ipset.

Question 2

Su configuración se ve bien, especialmente si ve la IP listada en el resultado de fail2ban-client status sshd.

¿Cómo verificas si la ip ha sido prohibida? Así lo compruebo en un sistema del que soy responsable con una ip prohibida.

            iptables -L f2b-sshd
Chain f2b-sshd (1 references)
target     prot opt source               destination         
REJECT     all  --  120.29.125.240       anywhere             reject-with icmp-port-unreachable
RETURN     all  --  anywhere             anywhere

Si no figura allí, ¿será simplemente que se está prohibiendo y eliminando la prohibición demasiado rápido? Sé que tu configuración está configurada en 6 horas, lo que debería ser suficiente.

De lo contrario, también puede consultar /var/log/fail2ban.log para ver si hay actividad que pueda ser relevante. Por ejemplo:

2020-12-04 09:17:07,590 fail2ban.filter         [9089]: INFO    [sshd] Found 120.29.125.240
2020-12-04 09:17:09,883 fail2ban.filter         [9089]: INFO    [sshd] Found 120.29.125.240
2020-12-04 09:17:12,163 fail2ban.filter         [9089]: INFO    [sshd] Found 120.29.125.240
2020-12-04 09:17:14,381 fail2ban.filter         [9089]: INFO    [sshd] Found 120.29.125.240
2020-12-04 09:17:16,874 fail2ban.filter         [9089]: INFO    [sshd] Found 120.29.125.240
2020-12-04 09:17:17,805 fail2ban.actions        [9089]: NOTICE  [sshd] Ban 120.29.125.240

Answer

Su configuración se ve bien, especialmente si ve la IP listada en el resultado de fail2ban-client status sshd.

¿Cómo verificas si la ip ha sido prohibida? Así lo compruebo en un sistema del que soy responsable con una ip prohibida.

            iptables -L f2b-sshd
Chain f2b-sshd (1 references)
target     prot opt source               destination         
REJECT     all  --  120.29.125.240       anywhere             reject-with icmp-port-unreachable
RETURN     all  --  anywhere             anywhere

Si no figura allí, ¿será simplemente que se está prohibiendo y eliminando la prohibición demasiado rápido? Sé que tu configuración está configurada en 6 horas, lo que debería ser suficiente.

De lo contrario, también puede consultar /var/log/fail2ban.log para ver si hay actividad que pueda ser relevante. Por ejemplo:

2020-12-04 09:17:07,590 fail2ban.filter         [9089]: INFO    [sshd] Found 120.29.125.240
2020-12-04 09:17:09,883 fail2ban.filter         [9089]: INFO    [sshd] Found 120.29.125.240
2020-12-04 09:17:12,163 fail2ban.filter         [9089]: INFO    [sshd] Found 120.29.125.240
2020-12-04 09:17:14,381 fail2ban.filter         [9089]: INFO    [sshd] Found 120.29.125.240
2020-12-04 09:17:16,874 fail2ban.filter         [9089]: INFO    [sshd] Found 120.29.125.240
2020-12-04 09:17:17,805 fail2ban.actions        [9089]: NOTICE  [sshd] Ban 120.29.125.240

centos8 fail2ban no funciona

Respuesta1

Respuesta2

información relacionada