Frage zu fail2ban

[Markowitsch]

Hmm ok.. ich dachte weil ich seit heute früh ausschließlich nur diese Meldungen habe, es wäre ein neues Problem.

Ein Neustart von fail2ban hat mir aber die alt bekannten Fehlermeldungen von IPTables zurück auf den Plan gebracht. Deswegen würde ich gerne zunächst bei meinem Hauptproblem bleiben:

iptables -D fail2ban-cccam_illegal -s "IP-Adresse" -j DROP
iptables: Bad rule (does a matching rule exist in that chain?)

Hier ein Auszug aus meinem aktuellen Log:

2011-05-26 12:52:50,897 fail2ban.actions: WARNING [cccam_sign] Ban „IP 1“
2011-05-26 12:52:50,902 fail2ban.actions: WARNING [cccam_sign] Ban „IP 2“
2011-05-26 12:52:50,905 fail2ban.actions: WARNING [cccam_illegal] Ban „IP 1“
2011-05-26 12:52:50,907 fail2ban.actions: WARNING [cccam_sign] Ban „IP 3“
2011-05-26 12:52:50,910 fail2ban.actions: WARNING [cccam_illegal] Ban „IP 3“
2011-05-26 12:52:50,911 fail2ban.actions: WARNING [cccam_sign] Ban „IP 4“
2011-05-26 12:52:50,915 fail2ban.actions.action: ERROR iptables -I fail2ban-cccam_illegal 1 -s „IP 3“ -j DROP returned 100
2011-05-26 12:52:50,915 fail2ban.actions: WARNING [cccam_illegal] Ban „IP 4“
2011-05-26 12:52:50,916 fail2ban.actions.action: ERROR iptables -I fail2ban-cccam_sign 1 -s „IP 4“ -j DROP returned 100
2011-05-26 12:52:50,916 fail2ban.actions: WARNING [cccam_sign] Ban „IP 5“
2011-05-26 12:52:50,920 fail2ban.actions.action: ERROR iptables -I fail2ban-cccam_illegal 1 -s „IP 4“ -j DROP returned 100
2011-05-26 12:52:50,920 fail2ban.actions: WARNING [cccam_illegal] Ban „IP 5“
2011-05-26 12:52:50,921 fail2ban.actions.action: ERROR iptables -I fail2ban-cccam_sign 1 -s „IP 5“ -j DROP returned 100
2011-05-26 12:52:50,924 fail2ban.actions.action: ERROR iptables -I fail2ban-cccam_illegal 1 -s „IP 5“ -j DROP returned 100

Nur um mal zu verdeutlichen, dass "IP 1" und "IP 2" in diesem Fall durchaus als Chains angelegt werden konnten, die anderen aber mit der besagten Fehlermeldung abgewiesen wurden. Ein Blick in die IPTables zeigte auch, dass diese vorhanden waren.

Warum geht es bei manchen und bei anderen wieder nicht - ist das nicht seltsam?

[Markowitsch]

IPTables (Firewall)
IP direkt sperren bzw. wenn du einen "richtigen" Router hast, kannst du es dort sperren.

wenn noch nicht installiert => apt-get install iptables
nano /etc/init.d/firewall
Hinzufügen: iptables -A INPUT -p ALL -s IP -j REJECT
/etc/init.d/firewall restart

nachdem du aber die FW aktiv hast, müsstest du auch die Ports, für CS (input - output) freigeben.

nano /etc/init.d/firewall

Bei dir müsste es dann so aussehen ... und tust einfach die Ports hinzufügen (Server Ports von deinen Usern und deinen Server Port)

IN_ALLOWED_TCP="21 22 25 53 80"
OUT_ALLOWED_TCP="21 22 25 53 80"

Mit dem Befehl

iptables -L INPUT

kannst du kontrollieren, welche Ports offen sind (ACCEPT) und welche gesperrt werden (DROP oder REJECT)
Hoffe das war verständlich ...

.. das habe ich natürlich noch nicht gemacht. Ist diese Prozedur zwingend notwenig, wenn man vor hat fail2ban einzusetzen, oder werden die wichtigsten Komponenten vom IPC-Script mit installiert?

Kam mir grad komisch vor. Weil eine /etc/init.d/firewall hab ich garnicht. ^^

[TommyH99]

iptables ist nicht zwingend nötig, aber wenn das File "leer" ist oder noch garnet existiert, dann musst du voher installieren

apt-get install iptables

[Markowitsch]

Ich checks nicht.. Alles was ich gemacht habe nach einer frischbegackenen IPC-Installation, ist fail2ban über das Menü zu installieren. Wie erwähnt hab ich ja auch einige Einträge in den IPtables, nur eben nicht alle..

Also ist es doch schon installiert. Ports musste ich aber bislang noch keine freischalten. Und eine /etc/init.d/firewall hab ich wie gesagt auch nicht. Worin besteht also der Unterschied zwischen einer IPtables-Installation, was ja anscheinend eine Firewall ist, und dem was fail2ban automatisch macht?

root ~ > iptables -L INPUT
Chain INPUT (policy ACCEPT)
target prot opt source destination
fail2ban-cccam_illegal tcp -- anywhere anywhere multiport dports "Mein Port"
fail2ban-cccam_sign tcp -- anywhere anywhere multiport dports "Mein Port"
fail2ban-cccam_2login tcp -- anywhere anywhere multiport dports "Mein Port"
fail2ban-ssh tcp -- anywhere anywhere multiport dports ssh

[feissmaik]

Standardmässig ist fail2ban so eingestellt, dass es iptables benutzt... Du kannst aber auch noch andere Methoden einstellen wie zb hostsdeny

Aber, du hast das auf einem VPS installiert oder? Hast du deinen Hoster mal angeschrieben und gefragt ob du überhaupt iptables nutzen kannst/darfst? Weil das ist auf vServern und VPS eher selten der Fall...

[Markowitsch]

Standardmässig ist fail2ban so eingestellt, dass es iptables benutzt.

Muss ich dazu IPtables extra installieren, oder geht das nach einer fail2ban Installation direkt?

EDIT: Ich habe eben nachgefragt - es geht auf meinem Server!
Ich hab ja auch wie mehrfach gesagt kurzzeitig Einträge, die dann aber schnell wieder verschwinden.

[Markowitsch]

.. also ich geb´s nicht auf!

Eine Neuinstallation von fail2ban mit den empfohlenen Standardeinstellungen hat zumindest mal die Fehlermeldungen von den IPtables behoben. Ich habe also kein "DROP 100" mehr und die Chains werden sauber angelegt. Allerdings nur direkt nach einem Neustart von fail2ban. Nachdem ich den Loglevel auf 4 erhöht habe, erhalte ich nun ausschließlich diese Einträge:

2011-05-27 09:48:29,697 fail2ban.filter : DEBUG /var/log/syslog has been modified
2011-05-27 09:48:29,697 fail2ban.filter.datedetector: DEBUG Sorting the template list
2011-05-27 09:48:29,773 fail2ban.filter : DEBUG /var/log/syslog has been modified
2011-05-27 09:48:29,773 fail2ban.filter.datedetector: DEBUG Sorting the template list

Nachdem die ersten Einträge in den IPtables wieder unbanned wurden, kommen auch keine neuen mehr hinzu!?

[feissmaik]

ähm also genrel solltest du zunächst verstehen das fail2ban ein programm ist was andere programme wie iptables benutzt...

Was macht fail2ban?
entsprechend der eingestellten jails überprüft es das jeweils angegebene Logfile nach den Filterregeln und wenn eine entsprechende failregex Zeile in dem Logfile auftaucht welche maximal "maxretry" wiederholungen haben darf, wird die entsprechende banaction die in fail2ban einstellt wurde, durchgeführt...

dh fail2ban kann fehlerfrei funktionieren aber wenn iptables nicht funzt, funzt fail2ban auch nicht wie es soll....

also wie ich bereits mehrmals sagte, stell doch mal zum testen von
banaction = iptables-multiport
auf
banaction = hostsdeny

...dann wird anstatt iptables die Datei /etc/hosts.deny benutzt und sperrt die entsprechende IP auch komplett aus...
Wenn das auch nicht funktionieren will, ist entweder dein fail2ban generel falsch konfiguriert oder dein System is irgendwie vermurkst - so aus der Ferne lässt sich das schwer nachvollziehen

[Markowitsch]

Ich hab deinen Rat jetzt mal befolgt und auf banaction = hostsdeny umgestellt. Funktioniert auch augenscheinlich, muss es aber erst noch beobachten..

Tut mir leid, dass ich als Quereinsteiger so viele unqualifizierte Fragen stelle.

[feissmaik]

jeder hat mal unqualifiziert angefangen - zur Analyse sollte man das jeweilige Vorgehen aber schon erstmal verstehen


Wie gesagt bezweifel ich das iptables auf deinem VPS funktionieren wird weil das sehr sehr ungewöhnlich wäre - ne VPS ist ne VM und jene haben keinen echten eigenen Kernel und auch keinen direkten Zugriff auf die Hardware etc und Sicherheitstechnisch ist iptables ein zu mächtiges Werkzeug wodurch die anderen VPS's beeintächtigt werden können etc...

Also wenn nichtmal ne manuelle iptables rule funktioniert, kann fail2ban auch nich damit funktionieren... Nur weil chains konfiguriert sind heisst das noch lange nicht das die auch funktionieren werden...

zb zum test:
iptables -A INPUT -p tcp –dport 80 --source <DEINE_IP> -j DROP

wenn iptables denn wirklich funktioniert dürftest du danach nicht mehr die IPC Seite ansurfen können, wenn du trotzdem noch den apache2 erreichst, funktioniert iptables nicht...