Сегодня заметил в логе fail2ban-а много записей вида: fail2ban.actions NOTICE [sshd] 59.45.79.52 already banned . Удивило меня не само наличие таких записей, а то, что их было много подряд. Это говорило о том, что fail2ban обнаружил бандита, попытался его заблокировать, но почему-то не смог..
Сперва я посмотрел на наличие блокировок в iptables:
iptables -L -n
Заблокированных IP там не оказалось.
Тогда, посмотрев логи детальнее, я обнаружил проблему, в логе были записи вида:
fail2ban.action ERROR ... FirewallD is not running
Это сказало мне, что fail2ban пытается забанить пользователей через firewalld, которого на сервере нет. А нет его, потому что ISPManager 5 использует вместо него старый, добрый iptables. Проблема понятна..
Решить её достаточно просто, прежде всего смотрим основной конфиг fail2ban-а, тут:
/etc/fail2ban/jail.conf
там мы должны убедиться что по-умолчанию в качестве action стоит именно iptables, выглядит это так:
... banaction = iptables-multiport ...
ок, но если стоит iptables, то почему fail2ban пытается использовать firewalld? Все просто, это значение переопределено тут:
/etc/fail2ban/jail.d/00-firewalld.conf
открываем этот файл на редактирование и комментируем, переопределение, должно получиться так:
[DEFAULT] ## Commented cos we haven't firewalld in the system ##banaction = firewallcmd-ipset
осталось перезапустить fail2ban:
service fail2ban restart
проверяем добавились ли ip в iptables:
iptables -L -n
должны получить примерно такой результат:
Chain f2b-sshd (1 references) target prot opt source destination REJECT all -- 59.45.79.52 0.0.0.0/0 reject-with icmp-port-unreachable REJECT all -- 185.69.152.169 0.0.0.0/0 reject-with icmp-port-unreachable RETURN all -- 0.0.0.0/0 0.0.0.0/0
где 59.45.79.52 и 185.69.152.169 - заблокированные ip
Теперь враг не пройдет 🙂
Комментарии (3)
Виталий Орлов спасибо тебе. Ты описал решение моей проблемы. Всё заработало.
Виталий, здравствуйте!
Вы можете помочь настроить fail2ban на моём сервере (возможно на платной основе)?
Нужна защита от подбора пароля к ISPManager5 Lite.
Привет, к сожалению, не оказываю таких услуг. Можешь обратиться сюда: isplicense, они специализируются на панелях для хостинга, в том числе предоставляют услуги по администрированию серверов и настройке ispmanager.