CentOS 7, ISPManager5 Lite, fail2ban: FirewallD is not running
Сегодня заметил в логе fail2ban-а много записей вида: fail2ban.actions NOTICE [sshd] 59.45.79.52 already banned . Удивило меня не само наличие таких записей, а то, что их было много подряд. Это говорило о том, что fail2ban обнаружил бандита, попытался его заблокировать, но почему-то не смог..
Сперва я посмотрел на наличие блокировок в iptables:
1 2 3 |
iptables -L -n |
Заблокированных IP там не оказалось.
Тогда, посмотрев логи детальнее, я обнаружил проблему, в логе были записи вида:
1 2 3 |
fail2ban.action ERROR ... FirewallD is not running |
Это сказало мне, что fail2ban пытается забанить пользователей через firewalld, которого на сервере нет. А нет его, потому что ISPManager 5 использует вместо него старый, добрый iptables. Проблема понятна..
Решить её достаточно просто, прежде всего смотрим основной конфиг fail2ban-а, тут:
/etc/fail2ban/jail.conf
там мы должны убедиться что по-умолчанию в качестве action стоит именно iptables, выглядит это так:
1 2 3 4 5 |
... banaction = iptables-multiport ... |
ок, но если стоит iptables, то почему fail2ban пытается использовать firewalld? Все просто, это значение переопределено тут:
/etc/fail2ban/jail.d/00-firewalld.conf
открываем этот файл на редактирование и комментируем, переопределение, должно получиться так:
1 2 3 4 5 |
[DEFAULT] ## Commented cos we haven't firewalld in the system ##banaction = firewallcmd-ipset |
осталось перезапустить fail2ban:
1 2 3 |
service fail2ban restart |
проверяем добавились ли ip в iptables:
1 2 3 |
iptables -L -n |
должны получить примерно такой результат:
1 2 3 4 5 6 7 |
Chain f2b-sshd (1 references) target prot opt source destination REJECT all -- 59.45.79.52 0.0.0.0/0 reject-with icmp-port-unreachable REJECT all -- 185.69.152.169 0.0.0.0/0 reject-with icmp-port-unreachable RETURN all -- 0.0.0.0/0 0.0.0.0/0 |
где 59.45.79.52 и 185.69.152.169 - заблокированные ip
Теперь враг не пройдет 🙂
Author: | Tags: /
| Rating:
3 comments.
Write a comment