Início / server / Perguntas / 1035920
Accepted
HippoMan
Asked: 2020-10-01 16:51:35 +0800 CST

fail2ban: comportamento de desbanimento quando duas prisões banem o mesmo IP?

  • 772

Eu tenho duas fail2banprisões que lidam com postfix: uma chamada postfixsasle outra chamada postfixauth. Cada um deles está procurando diferentes correspondências de regex para acionar proibições. É possível que ambos sejam acionados pela atividade do mesmo endereço IP, e isso ocorre às vezes.

Se um dos banimentos expirar antes do outro, parece que o endereço IP está sendo desbanido, mesmo que o segundo ban ainda esteja ativo.

Por exemplo, suponha que eu execute fail2ban-client get postfixauth banip --with-timee obtenha a seguinte linha em sua saída (endereço IP real simulado):

aaa.bbb.ccc.ddd     2020-09-28 10:58:24 + 86400 = 2020-09-29 10:58:24

... e suponha que eu execute fail2ban-client get postfixsasl banip --with-timee obtenha a seguinte saída. O mesmo endereço IP é simulado da mesma maneira:

aaa.bbb.ccc.ddd     2020-09-28 20:00:37 + 3600 = 2020-09-28 21:00:37

Obviamente, o segundo banimento expirará antes do primeiro. No entanto, parece que uma vez que o segundo item é desbanido, o aaa.bbb.ccc.dddendereço IP parece ser desbanido, mesmo antes do tempo de expiração do primeiro item.

Eu quero que o aaa.bbb.ccc.dddendereço IP permaneça bloqueado até que a última proibição expire, mas isso não está ocorrendo para mim.

Antes das 21:00:37 de 29-09-2020, a seguinte linha aparece na f2b-postfixauthseção de iptables -Lsaída:

REJECT     all  --  aaa.bbb.ccc.ddd         anywhere             reject-with icmp-port-unreachable

... e a seguinte linha aparece na f2b-postfixsaslseção da iptables -Lsaída:

REJECT     all  --  aaa.bbb.ccc.ddd         anywhere             reject-with icmp-port-unreachable

Após 21:00:37 em 29-09-2020, ambas as linhas desapareceram da iptables -Lsaída.

Esse é o comportamento esperado? Ou pode haver algo totalmente não relacionado que está errado com minha fail2banconfiguração que faz com que isso ocorra? Se esse não for o comportamento esperado, investigarei minha fail2banconfiguração mais a fundo.

Muito obrigado.

fail2ban

1 respostas

  1. Best Answer

    Estou usando csfpara processamento "normal", não fail2banfirewall, e descobri isso csfe fail2baninterajo iptablesde maneiras incompatíveis, e essa é a causa do meu problema.

    Eu estava usando iptables-multiportdentro fail2banpara fazer o banimento, e a presença simultânea de como meu serviço de firewall fazia com que endereços IP csfpreviamente banidos (via ) ainda passassem pelo firewall.fail2ban

    Em vez de usar iptables-multiport, alterei minha fail2banconfiguração de jail para banir e desbanir apenas via csf, conforme descrito aqui: https://github.com/fail2ban/fail2ban/issues/2340

    Com iptables-multiportas ações não sendo mais executadas na minha configuração csfhabilitada fail2ban, todas as tentativas de banimento e desbanimento agora estão funcionando conforme o esperado.

    • 0

relate perguntas