atividade de log fail2ban mesmo que o IP tenha sido banido de qualquer maneira

tag-icon tag-icon logging fail2ban brute-force-attacks
atividade de log fail2ban mesmo que o IP tenha sido banido de qualquer maneira

Gostaria de saber se existe uma maneira de saber se um IP banido ainda está tentando entrar em contato com meu servidor e o que ele está tentando fazer?

O fail2ban.log parece mostrar quem foi banido, mas não se um IP banido ainda está tentando me contatar, estou errado?

Agradecemos antecipadamente por qualquer pista para encontrar esses detalhes, se possível :)

Por gentileza, Krys

Responder1

Normalmente, o Fail2ban proíbe endereços IP específicos com base em padrões maliciosos nos arquivos de log do seu aplicativo. Normalmente, o fail2ban bloqueia o endereço IP incorreto, gerando uma regra de firewall (temporária) e registra apenas isso.

Quando o endereço IP ofensivo for banido, esses endereços IP não poderão mais acessar seu aplicativo e nenhum outro evento desses endereços IP será encontrado nos arquivos de log do aplicativo. Portanto, a partir desses arquivos de log, você não pode saber se o endereço IP incorreto recuou ou não e ainda está batendo no firewall.

Você pode tentar consultar as estatísticas atuais do firewall para ver se o último está acontecendo. Sua milhagem pode variar:

Em um host banaction = firewallcmd-ipsetexiste apenas uma regra e um contador único para todos os IPs bloqueados:

iptables -L -n -v
...
 pkts bytes target     prot opt in     out     source               destination

 6578  392K REJECT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            multiport dports 22 match-set f2b-sshd src reject-with icmp-port-unreachable

Isso torna impossível atribuir quais endereços IP bloqueados nof2b-sshd ipsetsão os reincidentes.

Em um host onde cada IP bloqueado é afetado por sua própria regra, vejo, por exemplo:

Chain fail2ban-SSH (1 references)
num   pkts bytes target     prot opt in     out     source               destination
1        0     0 REJECT     all  --  *      *       117.239.37.150       0.0.0.0/0           reject-with icmp-port-unreachable
2        4   412 REJECT     all  --  *      *       117.253.208.237      0.0.0.0/0           reject-with icmp-port-unreachable

Lá, por exemplo, o endereço IP 117.253.208.237enviou 4 pacotes que foram registrados pelo firewall após terem sido bloqueados e 117.239.37.150completamente recuados.

Como a outra resposta mencionada, você pode instruir o fail2ban a criar uma regra de firewall que gere eventos de log, que você pode pós-processar para obter insights semelhantes, mas isso não é algo que o fail2ban irá processar e relatar nativamente.

Responder2

Acho que o que você está procurando éações. Fail2ban é capaz de executar um comando específico ao banir/desbanir, e pareceesseé o que você está procurando. Como mencionado noconfiguração padrão, você deve criar um arquivo jail.dpara personalizar o comportamento do(s) serviço(s) que deseja manter registrando, ou seja,jail.d/customisation.local

informação relacionada