Я хотел бы узнать, есть ли способ узнать, пытается ли заблокированный IP-адрес связаться с моим сервером, и что он пытается сделать?
Похоже, в журнале fail2ban.log отображается, кто был забанен, но если забаненный IP-адрес все еще пытается связаться со мной, то этого не происходит. Я не прав?
Заранее спасибо за любую подсказку, чтобы найти эти детали, если это возможно :)
Пожалуйста, Крыс
решение1
Обычно Fail2ban блокирует определенные IP-адреса на основе вредоносных шаблонов в файлах журнала приложений. Обычно fail2ban блокирует нарушающий IP-адрес, генерируя (временное) правило брандмауэра и регистрирует только его.
Когда нарушающий IP-адрес заблокирован, эти IP-адреса больше не смогут получить доступ к вашему приложению, и больше никаких событий с этих IP-адресов не будет найдено в файлах журнала приложения. Таким образом, из этих файлов журнала вы не сможете узнать, отступил ли нарушающий IP-адрес или нет и все еще бьется о брандмауэр.
Вы можете попробовать посмотреть текущую статистику брандмауэра, чтобы увидеть, происходит ли последнее. Ваши результаты могут отличаться:
На хосте banaction = firewallcmd-ipsetесть только правило и один счетчик для всех заблокированных IP-адресов:
iptables -L -n -v
...
pkts bytes target prot opt in out source destination
6578 392K REJECT tcp -- * * 0.0.0.0/0 0.0.0.0/0 multiport dports 22 match-set f2b-sshd src reject-with icmp-port-unreachable
Это делает невозможным определение заблокированного IP-адреса(ов) вf2b-sshd ipsetявляются рецидивистами.
На хосте, где каждый заблокированный IP-адрес регулируется собственным правилом, я вижу, например:
Chain fail2ban-SSH (1 references)
num pkts bytes target prot opt in out source destination
1 0 0 REJECT all -- * * 117.239.37.150 0.0.0.0/0 reject-with icmp-port-unreachable
2 4 412 REJECT all -- * * 117.253.208.237 0.0.0.0/0 reject-with icmp-port-unreachable
Например, IP-адрес 117.253.208.237отправил 4 пакета, которые были зарегистрированы брандмауэром после того, как были заблокированы и 117.239.37.150полностью отброшены.
Как упоминалось в другом ответе, вы можете поручить fail2ban создать правило брандмауэра, которое будет генерировать события журнала, которые затем можно будет обработать для получения аналогичной информации, но fail2ban не будет изначально обрабатывать эти события и сообщать о них.
решение2
Я думаю, что вы ищетедействия. Fail2ban может выполнять определенную команду при бане/разбане, и это выглядит такэтотто, что вы ищете. Как упоминалось вконфигурация по умолчанию, вам следует создать файл, jail.dчтобы настроить поведение служб, которые вы хотите регистрировать, напримерjail.d/customisation.local