Gostaria de saber se existe uma forma de saber se um IP banido ainda está tentando entrar em contato com meu servidor e o que ele está tentando fazer?
O fail2ban.log parece mostrar quem foi banido, mas não se um IP banido ainda está tentando me alcançar, estou errado?
Agradecemos antecipadamente por qualquer pista para encontrar esses detalhes, se possível :)
Gentilmente, Krys
Acho que o que você está procurando são ações . O Fail2ban é capaz de executar um comando específico ao banir/desbanir, e parece que é isso que você está procurando. Conforme mencionado na configuração padrão , você deve criar um arquivo
jail.d
para personalizar o comportamento do(s) serviço(s) que deseja manter logado, ou seja,jail.d/customisation.local
Normalmente, o Fail2ban bane endereços IP específicos com base em padrões maliciosos nos arquivos de log do aplicativo. Normalmente, o fail2ban bloqueia o endereço IP ofensivo, gerando uma regra de firewall (temporária) e registra apenas isso.
Quando o endereço IP ofensivo for banido, esses endereços IP não poderão mais alcançar seu aplicativo e nenhum outro evento desses endereços IP será encontrado nos arquivos de log do aplicativo. Portanto, a partir desses arquivos de log, você não pode saber se o endereço IP ofensivo recuou ou não e ainda está batendo contra o firewall.
Você pode tentar examinar as estatísticas atuais do firewall para ver se o último está acontecendo. Sua milhagem pode variar:
Em um host com
banaction = firewallcmd-ipset
apenas uma regra e um único contador para todos os IPs bloqueados:Isso torna impossível atribuir quais endereços IP bloqueados no
f2b-sshd
ipset são os infratores reincidentes.Em um host onde cada IP bloqueado é afetado por sua própria regra, vejo por exemplo:
Lá, por exemplo, o endereço IP
117.253.208.237
enviou 4 pacotes que foram registrados pelo firewall depois de terem sido bloqueados e117.239.37.150
completamente recuados.Como a outra resposta mencionou, você pode instruir o fail2ban a criar uma regra de firewall que gere eventos de log, que você pode pós-processar para obter informações semelhantes, mas isso não é algo que o fail2ban irá processar e relatar nativamente.