บรรจวบ เข้าสู่ระบบ
Score:0
avatar Server

Fail2Ban แบนที่อยู่ที่ควรถูกแบนแล้ว

ธง in
George Griffin

ฉันกำลังเรียกใช้กฎ ssh-auth ที่เป็นค่าเริ่มต้นของ fail2ban เพื่อแบน ips ด้วยการพยายามตรวจสอบสิทธิ์ที่ล้มเหลว 3 ครั้งขึ้นไปในหน้าต่างเดียว อย่างไรก็ตาม ฉันสังเกตเห็นว่าเครือข่ายใดเครือข่ายหนึ่งเป็นแหล่งที่มาของปริมาณการใช้งานที่ไม่เหมาะสม ดังนั้นฉันจึงตัดสินใจยกเลิกการรับส่งข้อมูลทั้งหมดจากเครือข่ายเหล่านั้นทั้งหมดเพื่อรับการแจ้งเตือนน้อยลงและอาจปรับปรุงอัตราส่วนสัญญาณต่อเสียงรบกวน ด้วยเหตุนี้ ฉันจึงเพิ่มกฎ IPTABLES ต่อไปนี้:

-A INPUT -s 107.189.0.0/19 -m ความคิดเห็น --comment "PONYNET-11 / FranTech Solutions (SYNDI-5)" -j DROP
-A INPUT -s 209.141.32.0/19 -m ความคิดเห็น --comment "PONYNET-04 / FranTech Solutions (SYNDI-5)" -j DROP
-A INPUT -s 205.185.112.0/20 -m ความคิดเห็น --comment "PONYNET-03 / FranTech Solutions (SYNDI-5)" -j DROP

อย่างไรก็ตาม ฉันยังคงได้รับการแจ้งเตือนมากมายทุกวันจาก fail2ban ที่แจ้งว่ามีการแบนที่อยู่จากเครือข่ายด้านบน ฉันไม่สามารถเข้าใจได้ตลอดชีวิตว่าทำไมมันถึงเป็นเช่นนั้น เนื่องจากฉันคาดว่าจะเห็นเฉพาะการแบนที่เกิดขึ้นกับที่อยู่ที่สามารถติดต่อเซิร์ฟเวอร์ของฉันได้ ทำไมสิ่งนี้ถึงเกิดขึ้น?

ด้านล่างคือกฎเชนของ iptables ทั้งหมด โดยมีการบล็อกบางส่วนออกเพื่อความเป็นส่วนตัว

-P อินพุตลดลง
-P ไปข้างหน้าลดลง
-P เอาต์พุตยอมรับ
-N f2b-sshd
-N f2b-wordpress-ยาก
-N ufw-หลังจากไปข้างหน้า
-N ufw-หลังการป้อนข้อมูล
-N ufw-หลังจากเข้าสู่ระบบไปข้างหน้า
-N ufw-หลังจากเข้าสู่ระบบอินพุต
-N ufw-หลังการบันทึก-เอาต์พุต
-N ufw-หลังเอาท์พุท
-N ufw-ก่อนส่งต่อ
-N ufw-ก่อนอินพุต
-N ufw-before-log-forward
-N ufw-before-log-input
-N ufw-before-log-output
-N ufw-ก่อนเอาท์พุท
-N ufw-การบันทึกอนุญาต
-N ufw-log-ปฏิเสธ
-N ufw-ไม่ใช่ของท้องถิ่น
-N ufw-ปฏิเสธไปข้างหน้า
-N ufw-ปฏิเสธอินพุต
-N ufw-ปฏิเสธเอาท์พุท
-N ufw-ข้ามไปยังนโยบายไปข้างหน้า
-N ufw-ข้ามไปที่นโยบายอินพุต
-N ufw-skip-to-policy-output
-N ufw-ติดตามไปข้างหน้า
-N ufw-แทร็กอินพุต
-N ufw-แทร็กเอาท์พุต
-N ufw-user-forward
-N ufw-ผู้ใช้อินพุต
-N ufw-ผู้ใช้จำกัด
-N ufw-user-limit-accept
-N ufw-user-log-forward
-N ufw-user-log-input
-N ufw-user-log-output
-N ufw-user-output
-A INPUT -p tcp -m หลายพอร์ต --dports 80,443 -j f2b-wordpress-hard
-A INPUT -p tcp -m หลายพอร์ต --dports 22 -j f2b-sshd
-A INPUT -j ufw-before-log-input
-A อินพุต -j ufw-ก่อนอินพุต
-A อินพุต -j ufw-หลังอินพุต
-A INPUT -j ufw-หลังจากเข้าสู่ระบบอินพุต
-A อินพุต -j ufw-ปฏิเสธอินพุต
-A อินพุต -j ufw-แทร็กอินพุต
-A INPUT -s 107.189.0.0/19 -m ความคิดเห็น --comment "PONYNET-11 / FranTech Solutions (SYNDI-5)" -j DROP
-A INPUT -s 209.141.32.0/19 -m ความคิดเห็น --comment "PONYNET-04 / FranTech Solutions (SYNDI-5)" -j DROP
-A INPUT -s 205.185.112.0/20 -m ความคิดเห็น --comment "PONYNET-03 / FranTech Solutions (SYNDI-5)" -j DROP
-A FORWARD -j ufw-before-log-forward
-A FORWARD -j ufw-ก่อนส่งต่อ
-A FORWARD -j ufw-หลังจากส่งต่อ
-A FORWARD -j ufw-after-log-forward
-A FORWARD -j ufw-reject-forward
-A FORWARD -j ufw-ติดตามไปข้างหน้า
-A OUTPUT -j ufw-before-log-output
-A OUTPUT -j ufw-ก่อนส่งออก
-A OUTPUT -j ufw-หลังเอาท์พุท
-A OUTPUT -j ufw-หลังการบันทึก-เอาต์พุต
-A OUTPUT -j ufw-ปฏิเสธเอาท์พุท
-A OUTPUT -j ufw-แทร็กเอาต์พุต
[... ips ที่ถูกปฏิเสธจำนวนหนึ่ง ... ]
-A f2b-sshd -j ผลตอบแทน
-A f2b-wordpress-hard -j ผลตอบแทน
-A ufw-หลังอินพุต -p udp -m udp --dport 137 -j ufw-skip-to-policy-input
-A ufw-หลังอินพุต -p udp -m udp --dport 138 -j ufw-skip-to-policy-input
-A ufw-หลังอินพุต -p tcp -m tcp --dport 139 -j ufw-skip-to-policy-input
-A ufw-หลังอินพุต -p tcp -m tcp --dport 445 -j ufw-skip-to-policy-input
-A ufw-หลังอินพุต -p udp -m udp --dport 67 -j ufw-skip-to-policy-input
-A ufw-หลังอินพุต -p udp -m udp --dport 68 -j ufw-skip-to-policy-input
-A ufw-หลังอินพุต -m addrtype --dst-type BROADCAST -j ufw-skip-to-policy-input
-A ufw-หลังการล็อกไปข้างหน้า -m ขีดจำกัด --จำกัด 3/นาที --จำกัด-ระเบิด 10 -j LOG --log-คำนำหน้า "[บล็อก UFW] "
-A ufw-หลังจากเข้าสู่ระบบอินพุต -m จำกัด --limit 3/min --limit-burst 10 -j LOG --log-prefix "[UFW BLOCK] "
-A ufw-before-forward -m conntrack --ctstate ที่เกี่ยวข้อง ก่อตั้ง -j ยอมรับ
-A ufw-before-forward -p icmp -m icmp --icmp-type 3 -j ยอมรับ
-A ufw-before-forward -p icmp -m icmp --icmp-type 11 -j ยอมรับ
-A ufw-before-forward -p icmp -m icmp --icmp-type 12 -j ยอมรับ
-A ufw-before-forward -p icmp -m icmp --icmp-type 8 -j ยอมรับ
-A ufw-before-forward -j ufw-user-forward
-A ufw-before-input -i lo -j ยอมรับ
-A ufw-before-input -m conntrack --ctstate ที่เกี่ยวข้อง ก่อตั้ง -j ยอมรับ
-A ufw-before-input -m conntrack --ctstate ไม่ถูกต้อง -j ufw-logging-deny
-A ufw-before-input -m conntrack --ctstate ไม่ถูกต้อง -j DROP
-A ufw-before-input -p icmp -m icmp --icmp-type 3 -j ยอมรับ
-A ufw-before-input -p icmp -m icmp --icmp-type 11 -j ยอมรับ
-A ufw-before-input -p icmp -m icmp --icmp-type 12 -j ยอมรับ
-A ufw-before-input -p icmp -m icmp --icmp-type 8 -j ยอมรับ
-A ufw-before-input -p udp -m udp --sport 67 --dport 68 -j ยอมรับ
-A ufw-before-input -j ufw-not-local
-A ufw-before-input -j ufw-user-input
-A ufw-before-output -o lo -j ยอมรับ
-A ufw-before-output -m conntrack --ctstate ที่เกี่ยวข้อง ก่อตั้ง -j ยอมรับ
-A ufw-before-output -j ufw-user-output
-A ufw-logging-allow -m limit --limit 3/min --limit-burst 10 -j LOG --log-prefix "[UFW ALLOW] "
-A ufw-logging-deny -m conntrack --ctstate INVALID -m limit --limit 3/min --limit-burst 10 -j RETURN
-A ufw-log-deny -m limit --limit 3/min --limit-burst 10 -j LOG --log-prefix "[บล็อก UFW] "
-A ufw-not-local -m addrtype --dst-type LOCAL -j RETURN
-A ufw-not-local -m addrtype --dst-type MULTICAST -j RETURN
-A ufw-not-local -m addrtype --dst-type BROADCAST -j RETURN
-A ufw-not-local -m limit --limit 3/min --limit-burst 10 -j ufw-logging-deny
-A ufw-not-local -j DROP
-A ufw-ข้ามไปยังนโยบายไปข้างหน้า -j DROP
-A ufw-ข้ามไปที่นโยบายอินพุต -j DROP
-A ufw-skip-to-policy-output -j ยอมรับ
-A ufw-track-output -p tcp -m conntrack --ctstate ใหม่ -j ยอมรับ
-A ufw-track-output -p udp -m conntrack --ctstate ใหม่ -j ยอมรับ
-A ufw-user-input -p tcp -m tcp --dport 22 -m conntrack --ctstate NEW -m ล่าสุด --set --name DEFAULT --mask 255.255.255.255 --rsource
-A ufw-user-input -p tcp -m tcp --dport 22 -m conntrack --ctstate NEW -m ล่าสุด --update --seconds 30 --hitcount 6 --name DEFAULT --mask 255.255.255.255 -- rsource -j ufw-ขีด จำกัด ผู้ใช้
-A ufw-user-input -p tcp -m tcp --dport 22 -j ufw-user-limit-accept
-A ufw-user-input -p tcp -m multiport --dports 80,443 -m comment --comment "\'dapp_Apache%20Full\'" -j ACCEPT
-A ufw-user-limit -m limit --limit 3/min -j LOG --log-prefix "[UFW LIMIT BLOCK] "
-A ufw-user-limit -j REJECT --reject-with icmp-port-unreachable
-A ufw-user-limit-accept -j ยอมรับ
81
1 + 4
fr flag
Tomek
คุณกำลังผนวกกฎของคุณ พวกเขาอาจถูกวางไว้หลังจากห่วงโซ่ของ fail2ban และกฎอื่น ๆ ที่อนุญาต ssh ดังนั้นจึงไม่ได้ผล แสดงผลลัพธ์การบันทึก iptables แบบเต็มสำหรับการวิเคราะห์
4
ตอบกลับ
in flag
George Griffin
อ่านั่นเป็นจุดที่ดี ฉันจะอัปเดตคำถามด้วยห่วงโซ่ที่แก้ไขแล้วจากหนึ่งในเซิร์ฟเวอร์
0
ตอบกลับ
in flag
George Griffin
ฉันเชื่อว่านั่นคือสิ่งที่เกิดขึ้น การรับส่งข้อมูลไปยัง PORTS 80, 443 และ 22 กำลังกระโดดไปที่กฎ f2b ที่สอดคล้องกัน และบล็อกจะไม่ถูกประเมิน ฉันจะตอบคำถามของฉันเองหลังจากทดสอบวิธีแก้ปัญหา หากตอนนั้นมีคนอื่นยังไม่ได้เขียนคำตอบ
0
ตอบกลับ
fr flag
Tomek
คุณมี ssh ratelimiting ใน ufw-user-input chain ซึ่งอาจอนุญาตการรับส่งข้อมูลก่อนที่จะถึงกฎการปฏิเสธของคุณ ลองดูที่นั่น และพิจารณาเลิกใช้ตัวช่วยไฟร์วอลล์ ซึ่งมักจะทำให้กฎซับซ้อนเกินไปและทำให้สับสน
1
ตอบกลับ
Score:0
avatar Server
ธง in
George Griffin

จากความคิดเห็นของ Tomek ฉันรู้ว่าฉันกำลังต่อท้ายโซ่ INPUT ด้วย ansible แทนที่จะใส่กฎใหม่ในจุดเริ่มต้น

เมื่อฉันใส่กฎแล้ว ฉันก็จะได้พฤติกรรมตามที่คาดไว้

0 + 0
ธงชาติไทย
Kulap
คำถามนี้เป็นภาษาอื่นๆ:

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา