Actividad de registro de fail2ban incluso si la IP ha sido prohibida de todos modos

tag-icon tag-icon logging fail2ban brute-force-attacks
Actividad de registro de fail2ban incluso si la IP ha sido prohibida de todos modos

Me gustaría saber si hay alguna manera de saber si una IP prohibida todavía está intentando contactar con mi servidor y ¿qué está intentando hacer?

El fail2ban.log parece mostrar quién ha sido baneado, pero no si una IP prohibida todavía intenta comunicarse conmigo, ¿me equivoco?

Gracias de antemano por cualquier pista para encontrar esos detalles si es posible :)

Amablemente, Krys

Respuesta1

Normalmente, Fail2ban prohíbe direcciones IP específicas basándose en patrones maliciosos en los archivos de registro de su aplicación. Por lo general, fail2ban bloquea la dirección IP infractora generando una regla de firewall (temporal) y registra solo eso.

Cuando la dirección IP infractora ha sido prohibida, esas direcciones IP ya no pueden llegar a su aplicación y no se encontrarán más eventos de esas direcciones IP en los archivos de registro de la aplicación. Entonces, a partir de esos archivos de registro no se puede saber si la dirección IP infractora ha retrocedido o no y todavía está golpeando el firewall.

Puede intentar consultar las estadísticas actuales del firewall para ver si esto último está sucediendo. Su kilometraje allí puede variar:

En un host con banaction = firewallcmd-ipsetsolo hay una regla y un contador único para todas las IP bloqueadas:

iptables -L -n -v
...
 pkts bytes target     prot opt in     out     source               destination

 6578  392K REJECT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            multiport dports 22 match-set f2b-sshd src reject-with icmp-port-unreachable

Esto hace imposible atribuir qué direcciones IP bloqueadas en elf2b-sshd ipsetson los reincidentes.

En un host donde cada IP bloqueada se ve afectada por su propia regla, veo, por ejemplo:

Chain fail2ban-SSH (1 references)
num   pkts bytes target     prot opt in     out     source               destination
1        0     0 REJECT     all  --  *      *       117.239.37.150       0.0.0.0/0           reject-with icmp-port-unreachable
2        4   412 REJECT     all  --  *      *       117.253.208.237      0.0.0.0/0           reject-with icmp-port-unreachable

Allí, por ejemplo, la dirección IP 117.253.208.237envió 4 paquetes que fueron registrados por el firewall después de haber sido bloqueados y 117.239.37.150retirados por completo.

Como se mencionó en la otra respuesta, puede indicarle a fail2ban que cree una regla de firewall que genere eventos de registro, que luego puede procesar posteriormente para obtener información similar, pero eso no es algo que fail2ban procesará e informará de forma nativa.

Respuesta2

Creo que lo que buscas escomportamiento. Fail2ban es capaz de ejecutar un comando específico al prohibir o cancelar la prohibición, y pareceestees lo que estás buscando. Como se menciona en elconfiguración predeterminada, debe crear un archivo jail.dpara personalizar el comportamiento de los servicios que desea seguir registrando, es decirjail.d/customisation.local

información relacionada