Fail2Ban entsperrt die IP-Adresse

11

Ich versuche, eine IP-Adresse zu entsperren, ohne Fail2Ban jedes Mal neu zu starten. Wie geht das am besten? Oder können Sie mich in die Richtung eines nützlichen Leitfadens weisen?

Wie Sie unten sehen können, lautet die IP-Adresse, die ich entfernen möchte: 89.31.259.161

# iptables -L -n

    Chain INPUT (policy DROP)
    target     prot opt source               destination
    fail2ban-apache-badbots  tcp  --  0.0.0.0/0            0.0.0.0/0           multiport dports 80,443
    fail2ban-httpd  tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:80
    fail2ban-sasl  tcp  --  0.0.0.0/0            0.0.0.0/0           multiport dports 25,465,143,220,993,110,995
    fail2ban-SSH  tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:22
    fail2ban-httpd  tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:443
    fail2ban-httpd  tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:80
    fail2ban-vsftpd  tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:21
    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           multiport dports 80,443,25,465,110,995,143,993,587,465,21,20,2855
    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0
    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:54000

    Chain FORWARD (policy DROP)
    target     prot opt source               destination

    Chain OUTPUT (policy ACCEPT)
    target     prot opt source               destination

    Chain fail2ban-SSH (1 references)
    target     prot opt source               destination
    RETURN     all  --  0.0.0.0/0            0.0.0.0/0

    Chain fail2ban-apache-badbots (1 references)
    target     prot opt source               destination
    RETURN     all  --  0.0.0.0/0            0.0.0.0/0

    Chain fail2ban-httpd (3 references)
    target     prot opt source               destination
    DROP       all  --  89.31.259.161        0.0.0.0/0
    DROP       all  --  89.31.259.161        0.0.0.0/0
    RETURN     all  --  0.0.0.0/0            0.0.0.0/0
    RETURN     all  --  0.0.0.0/0            0.0.0.0/0
    RETURN     all  --  0.0.0.0/0            0.0.0.0/0

Chain fail2ban-sasl (1 references)
target     prot opt source               destination
RETURN     all  --  0.0.0.0/0            0.0.0.0/0

Chain fail2ban-vsftpd (1 references)
target     prot opt source               destination
RETURN     all  --  0.0.0.0/0            0.0.0.0/0

Ich konnte rennen: iptables -D fail2ban-httpd -s 89.31.259.161 -j DROPobwohl dies nur eine der Zeilen löschte.

John Magnolia
quelle

Antworten:

15

Verwenden Sie die --line-numbersOption zu iptables, um eine Liste zu erhalten, in der die Zeilennummern für die Regeln in einer Kette angezeigt werden, z

iptables -L fail2ban-SSH -v -n --line-numbers
Chain fail2ban-SSH (1 references)
num   pkts bytes target     prot opt in     out   source              destination
1       19  2332 DROP       all  --  *      *     193.87.172.171      0.0.0.0/0
2       16  1704 DROP       all  --  *      *     222.58.151.68       0.0.0.0/0
3       15   980 DROP       all  --  *      *     218.108.224.81      0.0.0.0/0
4        6   360 DROP       all  --  *      *     91.196.170.231      0.0.0.0/0
5     8504  581K RETURN     all  --  *      *     0.0.0.0/0           0.0.0.0/0

Verwenden Sie dann iptables -D chain rulenum, um diejenigen zu entfernen, die Sie nicht möchten, z

iptables -D fail2ban-SSH 1

würde das löschen

1       19  2332 DROP       all  --  *      *     193.87.172.171      0.0.0.0/0

Zeile aus dem obigen Beispiel. Beachten Sie, dass alles neu nummeriert ist, sodass Sie denselben Befehl erneut ausführen können, um die neue Regel 1 in der Kette zu entfernen.

user9517
quelle
Dies wird funktionieren - BIS Sie den Server oder fail2ban neu starten. Die Antwort von @Ndianabasi ist besser.
TheStoryCoder
5

Nach meiner Erfahrung mit Fail2ban führt das Aufheben des Sperrens einer IP-Adresse direkt über IPTABLES dazu, dass die IP von Fail2ban erneut gesperrt wird, wenn der Fail2ban-Dienst innerhalb der Sperrzeit neu gestartet wird.

Der effektivste und sauberste Weg, eine von Fail2ban gesperrte IP-Adresse zu entsperren, ist die Verwendung des fail2ban-Clients.

Schritt 1: Notieren Sie sich den Namen des Gefängnisses, indem Sie das Fail2ban-Protokoll überprüfen

sudo zgrep 'Ban' /var/log/fail2ban.log

Beispielausgabe:

2017-11-03 04: 30: 14,509 fail2ban.actions [25091]: HINWEIS [nginx-badbots] Ban 47.15.15.49 2017-11-03 04: 37: 29,597 fail2ban.actions [27065]: HINWEIS [nginx-badbots] Verbot 103.31.87.187 2017-11-03 04: 37: 30,124 fail2ban.actions [27065]: HINWEIS [nginx-badbots] Verbot 201.33.170.251 2017-11-03 04: 37: 30,364 fail2ban.actions [27065]: HINWEIS [ nginx-badbots] Ban 47.15.15.49 2017-11-03 04: 38: 06,754 fail2ban.actions [27065]: HINWEIS [vsftpd] Ban 128.20.12.68

Wenn wir daran interessiert sind, die IP-Adresse - 128.20.12.68 - aufzuheben, lautet der Name des Gefängnisses vsftpd.

Schritt 2: Entbannen Sie die IP-Adresse mit dem fail2ban-Client. Das allgemeine Format ist:

sudo fail2ban-client set [JAIL] unbanip [xx.xx.xx.xx]

Führen Sie jetzt Folgendes aus:

sudo fail2ban-client set vsftpd unbanip 128.20.12.68

Beispielausgabe:

128.20.12.68

Schritt 3: Bestätigen Sie das Aufheben der Sperrung aus dem Fail2ban-Protokoll

sudo tail -f /var/log/fail2ban.log

Beispielausgabe:

2017-11-03 04: 38: 13,332 fail2ban.actions [27065]: HINWEIS [vsftpd] Unban 128.20.12.68

Ndianabasi
quelle
1
Dies sollte die akzeptierte Antwort sein.
TheStoryCoder