ISPconfig Problem bei fail2ban

Dieses Thema im Forum "Server Administration" wurde erstellt von herosalex, 28. Apr. 2015.

  1. herosalex

    herosalex Member

    Hallo zusammen,
    ich habe bei meinem Server ein Problem mit fail2ban. Aus irgendwelchen Gründen werden nicht alle IPs gesperrt.

    Fail2ban blockiert zum Teil ein paar IPs, aber andere werden nicht gesperrt.

    Logfile von fail2ban:
    2015-04-27 15:08:19,220 fail2ban.actions: WARNING [sasl] Ban IP2
    ................
    2015-04-27 16:54:01,689 fail2ban.actions: WARNING [courierimap] Ban IP3
    2015-04-27 17:29:46,011 fail2ban.actions: WARNING [courierimap] Ban IP4
    2015-04-27 17:31:23,263 fail2ban.actions: WARNING [courierimap] Ban IP5
    2015-04-27 18:09:15,182 fail2ban.actions: WARNING [courierpop3] Ban IP6
    2015-04-27 19:13:12,135 fail2ban.actions: WARNING [courierimap] Ban IP7

    Auszug aus der Mail-Logfile:
    Apr 27 14:46:57 web postfix/smtpd[4984]: warning: domain1 [ ip1 ]: SASL LOGIN authentication failed: authentication failure
    Apr 27 14:55:19 web postfix/smtpd[5344]: warning: domain1 [ ip1 ]: SASL LOGIN authentication failed: authentication failure
    Apr 27 15:03:30 web postfix/smtpd[5600]: warning: domain1 [ ip1 ]: SASL LOGIN authentication failed: authentication failure
    Apr 27 15:08:17 web postfix/smtpd[5721]: warning: hostname domain2.ru does not resolve to address IP2: Name or service not known
    Apr 27 15:08:17 web postfix/smtpd[5721]: warning: unknown[ IP2 ]: SASL LOGIN authentication failed: authentication failure
    Apr 27 15:08:17 web postfix/smtpd[5721]: warning: unknown[ IP2 ]: SASL LOGIN authentication failed: authentication failure
    Apr 27 15:08:18 web postfix/smtpd[5721]: warning: unknown[ IP2 ]: SASL LOGIN authentication failed: authentication failure
    Apr 27 15:11:57 web postfix/smtpd[5842]: warning: domain1 [ ip1 ]: SASL LOGIN authentication failed: authentication failure
    Apr 27 15:20:18 web postfix/smtpd[6095]: warning: domain1 [ ip1 ]: SASL LOGIN authentication failed: authentication failure
    Apr 27 15:28:41 web postfix/smtpd[6299]: warning: domain1 [ ip1 ]: SASL LOGIN authentication failed: authentication failure

    Meiner Meinung nach müsste fail2ban mit den selben Einstellungen die IP1 auch sperren, leider wird nur die IP2 gesperrt.
    Gibt es dort Unterschiede?
    Wo ist mein Fehler?
     
  2. nowayback

    nowayback Well-Known Member

    *glaskugelmode on*
    dein fehler ist die zeit. du hast als bantime 300 sekunden (5 minuten eingestellt) IP1 wurde 15:03:30 gebannt und demzufolge 15:08:30 wieder entbannt. deshalb konnte ip1 15:11:57 wieder einen login versuchen.
    (angaben ohne gewähr da der entsprechende auszug aus der fail2ban.log fehlt)
    *glaskugelmode off*
     
  3. herosalex

    herosalex Member

    Leider ist das nicht so. Die Ban-Zeit war auf größer 10 Minuten eingestellt.
    Auszugaus der Datei /etc/fail2ban/jail.local:
    bantime = 36000
    maxretry = 3
    Aus mir nicht verständlichen Gründen greift fail2ban bei einer IP und bei einer anderen Funktioniert es nicht. Klar ist auch, dass es unterschiedliche Ports gibt, die von fail2ban unterschiedlich behandelt werden.
    Für mich ist bei der ip1 und IP2 der Port und der Dienst auf meinem Server identisch. Es müsste meiner Meinung nach die selbe Regel greifen. Der ein zigste Unterschied ist, dass bei der ip1 keine Domain steht und bei der IP2 wird eine längere Subdomain angezeigt.

    Da ich diese Schwierigkeiten minimieren wollte, habe ich eine IP-Blacklist erstellt. Anleitung
    Leider funktioniert diese Technik bei mir nicht. Es gibt zu dieser Thematik ein paar Anleitungen, die alle den selben Inhalt haben. Nur die Kombination aus IP und Zeit sind unterschiedlich.
    Leider wird bei mir keine IP der Blacklist gesperrt. Egal welche Kombination ich aus Zeit und IP nutze.

    Hat jemand eine Idee?
     
  4. florian030

    florian030 Member

    Du könntest ja mal Deine Regex posten oder einfach mal nachsehen, ob die IP nicht doch in der Firewall steht, Du aber irgendwo eine ACCEPT an der falschen Stelle hast.
     
  5. herosalex

    herosalex Member

    Falls du die Ausgabe vom Komando "fail2ban-regex" meintest, hab ich sie mit Postfix und meiner Blacklist ausgeführt.

    Ausgabe von Postif:
    XXXX@XXXX:/etc/fail2ban/filter.d# fail2ban-regex /var/log/mail.log /etc/fail2ban/filter.d/postfix.conf
    Running tests =============
    Use regex file : /etc/fail2ban/filter.d/postfix.conf
    Use log file : /var/log/mail.log
    Results =======
    Failregex
    |- Regular expressions:
    | [1] ^\s*(?:\S+ )?(?:kernel: \[\d+\.\d+\] )?(?:mad:vserver_\S+ )?(?:(?:\[\d+\])?:\s+[\[\(]?postfix/smtpd(?:\(\S+\))?[\]\)]?:?|[\[\(]?postfix/smtpd(?:\(\S+\))?[\]\)]?:?(?:\[\d+\])?:)?\s*NOQUEUE: reject: RCPT from \S+\[<HOST>\]: 554 5\.7\.1 .*$
    |`- Number of matches:
    [1] 0 match(es)
    Ignoreregex
    |- Regular expressions:
    |`- Number of matches:
    Summary =======
    Sorry, no match
    Look at the above section 'Running tests' which could contain important
    information.


    Zum Vergleich die Ausgabe meiner IP-Blacklist:
    XXXX@XXXX:/etc/fail2ban/filter.d# fail2ban-regex /etc/fail2ban/ip-blacklist /etc/fail2ban/filter.d/ip-blacklist.conf
    Running tests =============
    Use regex file : /etc/fail2ban/filter.d/ip-blacklist.conf
    Use log file : /etc/fail2ban/ip-blacklist
    Results =======
    Failregex
    |- Regular expressions:
    | [1] ^<HOST> \[.*\]$
    |`- Number of matches:
    [1] 0 match(es)
    Ignoreregex
    |- Regular expressions:
    |`- Number of matches:
    Summary =======
    Sorry, no match
    Look at the above section 'Running tests' which could contain important
    information.

    Leider werden bei beiden keine Infos zu Fehlern gegeben.
     

Diese Seite empfehlen