Ich habe ein spezielles Gefängnis für einen Spambot eingerichtet, der mir Probleme bereitet. Mit "bantime -1" habe ich versucht, das Botnetz dauerhaft zu sperren. Ich dachte, es würde funktionieren, aber als die wöchentliche Protokollierung auftrat, hat fail2ban alle IPs aufgehoben.
Was ist der beste Weg, um eine IP mit fail2ban dauerhaft und dauerhaft zu sperren?
Tut so etwas wie diese dauerhaft gesperrt IP auf eine separaten Dateien + Protokollierung (die nicht gedreht bekommt) eine gute Lösung?
Prost, Thomas
PS: Ich würde das gerne ohne neue Cronjobs und Skripte machen.
PPS: Ich benutze Debian.
Antworten:
Fügen Sie das Verbot (möglicherweise
/etc/sysconfig/iptables
) in Ihre permanente iptables-Konfigurationsdatei ein .quelle
Meine Peraban-Aktionsdatei hängt die IP-Adresse an die Datei an, die meine Firewall beim Booten lädt, damit sie nie verloren geht. Wie Sie dies erreichen, hängt von Ihrem Setup und System ab.
quelle
Fail2ban überwacht verschiedene Protokolle und ergreift Maßnahmen basierend auf den gefundenen Daten. In diesem speziellen Fall werden Regeln zur iptables-Firewall hinzugefügt. Sie müssen den Status Ihrer Firewall speichern, bevor die Sperrregeln gelöscht werden.
Wie und wo dies zu tun ist, hängt von Ihrem System ab. Für Red Hat-Systeme und dergleichen können Sie verwenden
Dadurch wird der aktuelle Status Ihrer iptables-Firewall in / geschrieben
etc/sysconfig/iptables
für Ubuntu haben Systeme einen Blick auf diese Dokument, in dem erläutert wird, wie und wo Änderungen an den Start- / Herunterfahrdateien vorgenommen werden müssen, um die iptables-Konfiguration zu speichern und wiederherzustellen.
Für Debian haben Systeme einen Blick auf dieseInformationen zu Artikel.
Sobald Sie wissen, wie Sie den Status Ihrer Firewall speichern, können Sie das Speichern / Wiederherstellen in logrotate prerotate- und postrotate-Skripten durchführen.
quelle
Ich durchsuchte das Netz ein paar Stunden lang, um einen soliden Weg zu finden, dies zu tun. Dieser Artikel war ein Glücksfall für mich! Fail2Ban: Permanente SSH-Verbote . Es wird eine separate Datei zum Speichern und Abrufen dauerhaft gesperrter IP-
fail2ban
Adressen vorgeschlagen , die beim Start gelesen und geschrieben wird, wenn eine Adresse gesperrt wird. Ähnliches könnte verwendet werden, um Verbote in einer Datenbank oder den systemweiten iptables-Regeln zu speichern.quelle