Verbieten Sie eine IP mit fail2ban dauerhaft und dauerhaft

7

Ich habe ein spezielles Gefängnis für einen Spambot eingerichtet, der mir Probleme bereitet. Mit "bantime -1" habe ich versucht, das Botnetz dauerhaft zu sperren. Ich dachte, es würde funktionieren, aber als die wöchentliche Protokollierung auftrat, hat fail2ban alle IPs aufgehoben.

Was ist der beste Weg, um eine IP mit fail2ban dauerhaft und dauerhaft zu sperren?

Tut so etwas wie diese dauerhaft gesperrt IP auf eine separaten Dateien + Protokollierung (die nicht gedreht bekommt) eine gute Lösung?

Prost, Thomas

PS: Ich würde das gerne ohne neue Cronjobs und Skripte machen.
PPS: Ich benutze Debian.

security fail2ban Krawattenkämpfer
quelle
Wenn ich anhaltende Spambots habe, setze ich sie manuell auf die schwarze Liste. Ich stelle jedoch fest, dass ich nicht viele Treffer von manuell auf die schwarze Liste gesetzten Elementen bekomme. Fail2ban behält normalerweise nicht den Status beim erneuten Laden der Firewall bei.
BillThor
Wenn Sie kein Skript erstellen möchten, müssen Sie es manuell ausführen. Wie Sie das tun, hängt von der verwendeten Unix-Variante ab.
user9517

Antworten:

5

Fügen Sie das Verbot (möglicherweise /etc/sysconfig/iptables) in Ihre permanente iptables-Konfigurationsdatei ein .

Ignacio Vazquez-Abrams
quelle
2

Meine Peraban-Aktionsdatei hängt die IP-Adresse an die Datei an, die meine Firewall beim Booten lädt, damit sie nie verloren geht. Wie Sie dies erreichen, hängt von Ihrem Setup und System ab.

Chris S.
quelle
2

Fail2ban überwacht verschiedene Protokolle und ergreift Maßnahmen basierend auf den gefundenen Daten. In diesem speziellen Fall werden Regeln zur iptables-Firewall hinzugefügt. Sie müssen den Status Ihrer Firewall speichern, bevor die Sperrregeln gelöscht werden.

Wie und wo dies zu tun ist, hängt von Ihrem System ab. Für Red Hat-Systeme und dergleichen können Sie verwenden

sudo service iptables save

Dadurch wird der aktuelle Status Ihrer iptables-Firewall in / geschriebenetc/sysconfig/iptables

für Ubuntu haben Systeme einen Blick auf diese Dokument, in dem erläutert wird, wie und wo Änderungen an den Start- / Herunterfahrdateien vorgenommen werden müssen, um die iptables-Konfiguration zu speichern und wiederherzustellen.

Für Debian haben Systeme einen Blick auf dieseInformationen zu Artikel.

Sobald Sie wissen, wie Sie den Status Ihrer Firewall speichern, können Sie das Speichern / Wiederherstellen in logrotate prerotate- und postrotate-Skripten durchführen.

Iain
quelle
2

Ich durchsuchte das Netz ein paar Stunden lang, um einen soliden Weg zu finden, dies zu tun. Dieser Artikel war ein Glücksfall für mich! Fail2Ban: Permanente SSH-Verbote . Es wird eine separate Datei zum Speichern und Abrufen dauerhaft gesperrter IP- fail2banAdressen vorgeschlagen , die beim Start gelesen und geschrieben wird, wenn eine Adresse gesperrt wird. Ähnliches könnte verwendet werden, um Verbote in einer Datenbank oder den systemweiten iptables-Regeln zu speichern.

John 'Shuey' Schuepbach
quelle