Я пытаюсь настроить брандмауэр для своего сервера 10.5, но, похоже, он не работает. Основная цель — попытаться остановить постоянные попытки взлома почты методом подбора пароля.
Для этого я установил fail2ban, чтобы отслеживать и блокировать неудачные попытки входа. По большей части это работает, то есть механика отправки запрещенных IP-адресов и отправки мне соответствующего письма выполняется. Если я запускаю терминальный сеанс, я получаю десятки IP-адресов, перечисленных с помощью следующей команды:
sudo ipfw list
С записью, выглядящей как:
12345 deny tcp from 123.123.23.123 to any in
Однако запрет неэффективен — тот же IP-адрес будет пытаться снова, иногда каждые несколько секунд в течение нескольких часов.
Когда я проверяю журнал fail2ban, он жалуется (после того, как он обнаружил несколько попыток вредоносного входа):
"WARNING [sasl-ipfw] 123.123.123.123 already banned"
Я пробовал форматировать запрет по-разному:
12345 deny tcp from 123.123.23.123 to 127.0.0.1 dst-port 25
12345 deny tcp from 123.123.23.123 to 192.168.123.123 dst-port 25
Но просто не имеет значения. Я даже попробовал просто запретить локальную сеть на веб-сервис:
12345 deny tcp from 192.168.123.122 to 192.168.123.123 dst-port 80
Но это опять же не имеет никакого эффекта. Другие правила, похоже, по умолчанию, в списке IPFW выглядят так:
12300 allow log logamount 1000 tcp from any to any established
12301 allow log logamount 1000 tcp from any to any out
12302 allow log logamount 1000 tcp from any to any dst-port 22 …
и одно последнее правило в списке (которое, как я где-то прочитал, не может быть изменено):
65535 allow ip from any to any
Приложение Server admin показывает, что служба брандмауэра запущена, в журнале ipfw нет списков «deny». Записи, исправленные в IPFW fail2ban, не отображаются ни в записях Server Admin, ни в файлах ipfw.conf или ipfw.conf.apple (поэтому я не уверен, где они хранятся). Но я вижу их, когда получаю «ipfw list» в терминале, и они перечислены на вкладке «Active Rules» раздела Firewall в Server Admin.
Спасибо за любую помощь по этому вопросу.
решение1
Похоже, ваш скрипт fail2ban использует слишком большой номер правила. ipfw оценивает правила в числовом порядке, и первое, которое применяется к данному пакету, определяет, что с ним делать. Это означает, что правила с меньшим номером имеют более высокий приоритет. Поскольку правила "deny" fail2ban добавляются с номером 12345, но правила "allow", настроенные администратором сервера, начинаются с 12302, по крайней мере некоторые из правил allow переопределяют правила deny fail2ban.
Простое решение: найдите, где в вашем скрипте fail2ban определен номер правила, и уменьшите его до значения, например, 12200.
Кстати, тот факт, что правила fail2ban не добавляются в файлы конфигурации, является нормальным и, вероятно, хорошим. Эти файлы используются при перезагрузке брандмауэра (например, при перезагрузке), но не обязательно отражают «живое» состояние брандмауэра. Если хотите, можете отредактировать скрипт fail2ban, чтобы добавить свои правила в эти файлы, а также установить их в живом состоянии, но это означает, что ваш набор правил будет произвольно увеличиваться с течением времени. ИМХО, единственный раз, когда вам стоит беспокоиться о таких «постоянных» банах, это если вы продолжаете видеть злоупотребления с одних и тех же IP-адресов снова и снова в течение длительного периода времени... но я бы ожидал, что это будет редкостью.