금지된 IP가 여전히 내 서버에 접속을 시도하고 있는지, 그리고 그 IP가 무엇을 하려는지 알 수 있는 방법이 있는지 알고 싶습니다.
Fail2ban.log에는 차단된 사람이 누구인지 표시되는 것 같지만, 차단된 IP가 여전히 나에게 접근하려고 시도하는 경우에는 표시되지 않습니다. 제가 틀렸습니까?
가능하다면 해당 세부 정보를 찾을 수 있는 단서를 제공해 주셔서 미리 감사드립니다. :)
잘 부탁드려요, 크리스
답변1
일반적으로 Fail2ban은 애플리케이션 로그 파일의 악성 패턴을 기반으로 특정 IP 주소를 금지합니다. 일반적으로 fall2ban은 (임시) 방화벽 규칙을 생성하여 문제가 되는 IP 주소를 차단하고 해당 주소만 기록합니다.
문제가 되는 IP 주소가 금지되면 해당 IP 주소는 더 이상 애플리케이션에 도달할 수 없으며 해당 IP 주소의 이벤트는 애플리케이션 로그 파일에서 더 이상 발견되지 않습니다. 따라서 해당 로그 파일에서는 문제가 되는 IP 주소가 백오프되었는지 여부와 여전히 방화벽을 공격하고 있는지 알 수 없습니다.
현재 방화벽 통계를 보고 후자가 발생하고 있는지 확인할 수 있습니다. 귀하의 마일리지는 다를 수 있습니다.
banaction = firewallcmd-ipset차단된 모든 IP에 대해 하나의 규칙과 단일 카운터만 있는 호스트에는 다음이 포함 됩니다.
iptables -L -n -v
...
pkts bytes target prot opt in out source destination
6578 392K REJECT tcp -- * * 0.0.0.0/0 0.0.0.0/0 multiport dports 22 match-set f2b-sshd src reject-with icmp-port-unreachable
이로 인해 차단된 IP 주소를 특정하는 것이 불가능해졌습니다.f2b-sshd IP세트상습범이에요.
차단된 각 IP가 자체 규칙에 의해 영향을 받는 호스트에서 예를 들면 다음과 같습니다.
Chain fail2ban-SSH (1 references)
num pkts bytes target prot opt in out source destination
1 0 0 REJECT all -- * * 117.239.37.150 0.0.0.0/0 reject-with icmp-port-unreachable
2 4 412 REJECT all -- * * 117.253.208.237 0.0.0.0/0 reject-with icmp-port-unreachable
예를 들어 IP 주소는 차단되고 완전히 백오프 117.253.208.237된 후 방화벽에 의해 기록된 4개의 패킷을 보냈습니다 .117.239.37.150
다른 답변에서 언급했듯이, 로그 이벤트를 생성하는 방화벽 규칙을 생성하도록 Fail2ban에 지시할 수 있습니다. 그런 다음 사후 처리하여 유사한 통찰력을 얻을 수 있지만 이는 Fail2ban이 기본적으로 처리하고 보고하는 것이 아닙니다.