Temat: Fail2ban - banowanie i odbanowanie

Witam,

może mi ktoś wytłumaczyć działanie mojego Fail2bana? Mam zrobiony filtr, który ma banować IP które próbuje łączyć się z adresem drupala /user/register?name=

Po logach widzę, że na początku fail2ban banuje chińskie, ukraińskie, rumuńskie IP ale w następnych logach odbanowuje i pojawia się błąd iptables.

wklejam log:

2014-01-27 13:24:59,672 fail2ban.actions: WARNING [drupalreg] 78.131.222.228 already banned

2014-01-27 13:29:59,217 fail2ban.actions: WARNING [drupalreg] Ban 79.133.217.246

2014-01-27 13:47:20,289 fail2ban.actions: WARNING [drupalreg] Ban 192.99.17.24

2014-01-27 13:47:20,293 fail2ban.actions.action: ERROR  iptables -I fail2ban-drupalreg 1 -s 192.99.17.24 -j DROP returned 100

2014-01-27 13:52:23,000 fail2ban.actions: WARNING [drupalreg] Ban 120.43.31.159

2014-01-27 13:52:23,004 fail2ban.actions.action: ERROR  iptables -I fail2ban-drupalreg 1 -s 120.43.31.159 -j DROP returned 100

2014-01-27 13:53:11,093 fail2ban.actions: WARNING [drupalreg] 192.99.17.24 already banned

2014-01-27 13:53:22,115 fail2ban.actions: WARNING [drupalreg] 192.99.17.24 already banned

2014-01-27 13:53:47,160 fail2ban.actions: WARNING [drupalreg] 192.99.17.24 already banned

2014-01-27 14:07:50,742 fail2ban.actions: WARNING [drupalreg] Unban 23.89.192.159

2014-01-27 14:14:23,471 fail2ban.actions: WARNING [drupalreg] Unban 37.220.7.250

2014-01-27 14:20:12,111 fail2ban.actions: WARNING [drupalreg] Unban 46.246.42.92

2014-01-27 14:24:49,628 fail2ban.actions: WARNING [drupalreg] Unban 31.41.218.136

2014-01-27 14:47:20,167 fail2ban.actions: WARNING [drupalreg] Unban 31.41.218.138

2014-01-27 15:40:31,054 fail2ban.actions: WARNING [drupalreg] Unban 120.43.27.224

Temat: Fail2ban - banowanie i odbanowanie

iptables -I fail2ban-drupalreg 1 -s 120.43.31.159 -j DROP returned 100
co to za dziwność? ta jedynka ? ;)

może tak zastopować fail2ban... wyczyścić firewalla

iptables -F

iptables -X

iptables -t nat -F

iptables -t nat -X

iptables -t mangle -F

iptables -t mangle -X

iptables -P INPUT ACCEPT

iptables -P FORWARD ACCEPT

iptables -P OUTPUT ACCEPT

i włączyć firewall && fail2ban ?

albo może za krótki czas bana w /etc/fail2ban/jail.conf ?

można pozmieniać bantime np na
dzien 86400
tydzien 604800
miesiac 2419200

niektóre filrty mam ustawione jako perm ban czyli
bantime = -1Ten post został edytowany przez Autora dnia 28.01.14 o godzinie 01:30

Temat: Fail2ban - banowanie i odbanowanie

dzięki, zrestartowałem firewall i fail2bana i ustawiłem ban na -1. Zobaczymy