ISPCinfig 3.0.3.3 fail2ban Fehler

[nowayback]

Moinsen,

nach dem Serverrestart erhalte ich folgende Fehlermeldung im Fail2Ban Log:

Zitat:

fail2ban.actions.action: ERROR iptables -N fail2ban-pureftpd
iptables -A fail2ban-pureftpd -j RETURN
iptables -I INPUT -p tcp -m multiport --dports ftp -j fail2ban-pureftpd returned 200

Zitat:

fail2ban.actions.action: ERROR iptables -N fail2ban-dovecot-pop3imap
iptables -A fail2ban-dovecot-pop3imap -j RETURN
iptables -I INPUT -p tcp -m multiport --dports pop3,pop3s,imap,imaps -j fail2ban-dovecot-pop3imap returned 200

Wenn ich diese Regeln von Hand einfüge, scheint's zu gehen aber das müsste man dann ja nach jedem Serverrestart machen. Irgendwelche Ideen zur Lösung?

Grüße
nwb



ANHANG:

System: Debian 6
Kernel: 2.6.32-5-amd64

jail.local:

Zitat:

[pureftpd]

enabled = true
port = ftp
filter = pureftpd
logpath = /var/log/syslog
maxretry = 3


[dovecot-pop3imap]

enabled = true
filter = dovecot-pop3imap
action = iptables-multiport[name=dovecot-pop3imap, port="pop3,pop3s,imap,imaps", protocol=tcp]
logpath = /var/log/mail.log
maxretry = 5

filter.d/pure-ftpd.conf

Zitat:

[Definition]
failregex = .*pure-ftpd: \(.*@<HOST>\) \[WARNING\] Authentication failed for user.*
ignoreregex =

filter.d/dovecot-pop3imap.conf

Zitat:

[Definition]
failregex = (?: pop3-login|imap-login): .*(?:Authentication failure|Aborted login \(auth failed|Aborted login \(tried to use disabled|Disconnected \(auth failed|Aborted login \(\d+ authentication attempts).*rip=(?P<host>\S*),.*
ignoreregex =

[Till]

Das Problem kann daran liegen dass fail2ban die Befehle zu schnell hintereinander ausführt, zumindest war das bei den Servern so, bei denen ich das problem bisher hatte. Die einfachste Lösung ist es das Banning per Route Befehl anstatt iptables zu machen. Ansonsten müsstest Du unter umständen fail2ban code ändern, so dass er nach jedem iptables befehl etwas wartet.

Configure fail2ban to use route instead of iptables to block connections « FAQforge

Siehe auch Debian bugreport hier:

#554162 - fail2ban: sometimes(frequently) fails to load iptable rules with multiple jails - Debian Bug report logs

[nowayback]

Moinsen Till,

danke für die Info... das muss ich wohl irgendwie übersehen haben.

In der aktuellen "Unstable" Version von fail2ban (0.8.5-2) Debian -- Details of package fail2ban in sid soll das Problem behoben sein.

Zitat:

fail2ban (0.8.5-2) unstable; urgency=low

* [5242e73] BF: (cherry-picked from upstream, DEP-3 yet TODO) Lock
server's executeCmd to prevent racing among iptables calls (Closes:
#554162) Many kudos go to Michael Saavedra for the patch
-- Yaroslav Halchenko <debian@onerussian.com> Fri, 23 Sep 2011 22:12:08 -0400

Danke und Grüße
nwb