iptables und route, wer ist "stärker"?

Dieses Thema im Forum "Allgemein" wurde erstellt von greye, 11. Mai 2012.

  1. greye

    greye New Member

    Hallo,

    ich verwende fail2ban um mittels route die bösen Jungs draußen zu halten. Das funktioniert auch tadellos, wie ich im fail2ban log sehe.

    Nun gibt es einen speziellen Kandidaten, der dauerhaft ssh-Logins versucht, immer von der gleichen IP aus.
    Diese IP habe ich in iptables gedropt.

    Trotzdem sehe ich, wie diese IP von fail2ban gebannt und wieder zugelassen wird.

    Jetzt habe ich vielleicht einen Knoten im Hirn, aber es dürfte doch nach der Sperre in iptables eigentlich nix mehr von der IP bis zum ssh-Login durchkommen, oder?

    Der DROP ist nach wie vor in der iptable Chain.

    :confused:

    42m
     
  2. nowayback

    nowayback Well-Known Member

    Moinsen,

    du haust gerade 2 dinge durcheinander:
    1. iptables und
    2. fail2ban

    Ja fail2ban arbeitet mit iptables aber du kannst trotzdem noch eigene Regeln anlegen.

    In fail2ban gibt es ne fail2ban-ssh regel die nach x versuchen die ip für x minuten sperrt.

    in den iptables kannst du ne eigene permanente regel anlegen z.b. für eine spezielle ip - die wir auch nicht von fail2ban überschrieben.

    Sollte die Ip auf der "drop - liste" stehen, kommt sie nicht bis zum ssh login - egal ob fail2ban oder eigene iptables regel - sondern bekommt nen timeout oder rejected.

    Das Problem - oder Feature - bei dir ist einfach das fail2ban die logs scanned und daher zusätzlich nochmal nen drop in die fail2ban-ssh regel einfügt weil x fehlerhafte versuche durchgeführt wurden... Mein Tipp: erhöhe die Ban - Dauer für einen gewissen Zeitraum auf 24h und warte ob es sich bessert, wenn nicht, schreibe den Provider an und informiere diesen. Der muss dann handeln ;)


    Grüße
    nwb
     
    Zuletzt bearbeitet: 11. Mai 2012
  3. greye

    greye New Member

    Hallo,

    mein fail2ban sperrt per route :) iptables kümmert sich um den Rest ;)

    Eben das ist ja die Frage: Wenn ich per route (oder auch per iptables) sperre, dürfte doch ein fehlerhafter Loginversuch gar nicht zustande kommen können, weil der gesperrte Rechner ja gar nicht bis zur Anmeldung kommt. Somit dürfte es auch nix auswertbares in den Logs geben.

    Nuja, der Provider sitzt in China, nennt sich GIANT Computer Network Technology Co., Ltd und residiert in "Room 701 Information Building NO.144".

    Ich weiß nicht, ob solche Adressangaben in China für seriöse Firmen normal sind, aber Raum 701, das klingt für meine Ohren nach kleiner Klitsche. Ob ich da irgendwas erreiche? Ok einen Versuch ist es wert.

    42m
     
  4. nowayback

    nowayback Well-Known Member

    Wenn du per iptables die IP sperrst, dann kommt diese definitiv nicht bis zum login und erzeugt auch keine meldung in den logs die fail2ban auswertet.

    Hier musst du prüfen ob du die chain korrekt eingerichtet hast (iptables -L)

    Ripe klärt das gerne für dich... die sind auch schnell dabei mal ne IP abzuschalten wenn es keine Reaktion des Ripe Mitglieds gibt, dass für den Adressbereich zuständig - das den Adressbereich zugeteilt - bekommen hat.

    Ich hab ne ganze Weile damit zutun gehabt und kann dir sagen dass es als Provider ziemlich nervig sein kann wenn da false Meldungen eingehen... aber im berechtigten fall hab ich den/die Server einfach auf Grund von AGB's abschalten können und somit Ripe-konform reagieren können/müssen ;) So muss es auch der Chinese tun können/müssen.

    Grüße
    nwb
     

Diese Seite empfehlen