iptables / fail2ban auf einer transparenten Bridge

[cokotech]

Hallo Gemeinde,
ich habe mir schon die Finger wund gegoogelt, aber wenn überhaupt nur Hinweise gefunden, die scheinbar nur für ältere Kernel oder so gelten.
Ich wollte mir mittels Ubuntu 16.10 eine transparente Bridge bauen und mittels fail2ban BruteForce-Attacken abwehren.
Das Einschränken auf bestimmte Ports macht bei mir keinen Sinn, weil die offenen Ports aller dahinter liegenden Geräte auch erreichbar sein müssen. Also würde ich gerne bestimmte IPs blocken und gerne können die dann überall geblocked sein, egal wohin die Anfragen eigentlich gingen. Die Geräte speichern Ihren Syslog auf diese Bridge und fail2ban erkennt auch die "Angriffe" und hinterlässt entsprechende iptables Einträge. Leider kann ich mit iptables machen was ich will, mich sogar aus dem Rechner aussperren, der die Bridge darstellt, aber alles was über die Bridge geht läuft weiter.
ens224 ist bei mir sozusagen das WAN uns ens192 das "LAN", auch wenn die Bezeichnungen bei einer Bridge unsinnig sind (LAN und WAN).

Hat jemand eine Idee dazu? Ich habe versucht die Interfaces (inkl. br0) einzeln anzugeben und auch so wie "-m physdev --physdev-in ens224" in allen Variationen. Ohne Erfolg. Alles was mit "net.bridge.bridge-nf-call-iptables" und ähnlichem zu tun hat, gibt es bei Ubuntu 16.10 augenscheinlich nicht mehr.


Viele Grüße Lenny

 

[nowayback]

was du meiner Meinung nach eigentlich bauen willst ist ein Gateway(evtl. auch mit NAT) mit Firewall. Auf diesem hättest du dann gerne fail2ban laufen. fail2ban durchsucht die angegebenen logs und trägt eine entsprechende iptable rule ein. Dadurch dass alle dahinterliegenden Server über dieses Gateway rausgehen und die Daten reinbekommen ziehen auch die iptables des Gateways. Es gibt ja keinen Weg dran vorbei.

Wenn ich dich falsch verstanden habe, dann erläutere bitte etwas verständlicher was du vorhast.

Grüße
nwb

 

[cokotech]

Hi,
nein, also ein Gateway im eigentlichen Sinne ist es kein Gateway, da weder ein Routing noch ein NAT stattfindet. Die beiden Interfaces sind einfach gebridged, so das das Netz, welches an der einen Schnittstelle angeschlossen ist auch auf der anderen Verfügbar ist.
Ich habe es jetzt zwar geschafft mit "iptables -A FORWARD -m physdev --physdev-in ens192 --physdev-out ens224 -s x.x.x.x -j DROP" eine IP auszusperren, aber dabei wird sie jetzt nur von der Bridge ausgesperrt, kommt aber noch auf den Rechner, der die Bridge "betreibt". In dem Fall bräuchte ich wieder zwei Einträge.
Die Frage geht dahin, ob es eine Konfigurationsmöglichkeit gibt, bei der die Bridge (br0) genauso behandelt wird wie eine normale Schnittstelle, so dass ein "iptables -A FORWARD -s 188.40.86.248 -j DROP" ausreicht, um den Verkehr zum Bridge-Rechner und allen dahinter zu unterbrechen.


Viele Grüße Lenny