Fail2ban ufw multiport action

» xela's Linux Blog

direkt zum Inhalt springen

Kategorien

Statische Seiten

Startseite
Hallo Welt!
Impressum

Links



Datenschutz

Diese Website benutzt das Open Source Tool Matomo zur Erstellung von Besucher-Statistiken. Matomo verwendet dazu keine HTTP-Cookies, deswegen bleibt euch hier das nervige Cookie-Banner erspart.

Matomo wird auf einem Server in Deutschland gehostet - dem selben wie dieser Blog.

Die IP Adressen in den Statistiken werden anonymisiert, eine genaue Zuordnung zu einer Person ist nicht möglich.

Die Do Not Track Einstellungen des Browsers werden respektiert.

Donnerstag, 29. März 2012

Fail2ban ufw multiport action

Fail2ban bringt eine sehr praktische Ban-Action namens iptables-multiport mit. Läuft aber die ufw (Uncomplicated FireWall), sind deren Chains ganz anders strukturiert und nicht unbedingt mit den iptables Aufrufen in iptables-multiport kompatibel.
Eine kompatible ufw-multiport Action schaut so aus:
/etc/fail2ban/action.d/ufw-multiport.conf
 
# Fail2Ban configuration file
#
# Author: Xela
#
# Based on the work of Cyril Jaquier and Guilhem Lettron
#

[Definition]

# Option:  actionstart
# Notes.:  command executed once at the start of Fail2Ban.
# Values:  CMD
#
actionstart =

# Option:  actionstop
# Notes.:  command executed once at the end of Fail2Ban
# Values:  CMD
#
actionstop =

# Option:  actioncheck
# Notes.:  command executed once before each actionban command
# Values:  CMD
#
actioncheck =

# Option:  actionban
# Notes.:  command executed when banning an IP. Take care that the
#          command is executed with Fail2Ban user rights.
# Tags:    <ip>  IP address
#          <failures>  number of failures
#          <time>  unix timestamp of the ban time
# Values:  CMD
#
actionban = ufw insert 1 deny log proto <protocol> from <ip> to any port <port>

# Option:  actionunban
# Notes.:  command executed when unbanning an IP. Take care that the
#          command is executed with Fail2Ban user rights.
# Tags:    <ip>  IP address
#          <failures>  number of failures
#          <time>  unix timestamp of the ban time
# Values:  CMD
#
actionunban = ufw delete deny log proto <protocol> from <ip> to any port <port>

[Init]

# Option:  port
# Values:  [ NUM ] comma separated list or single port
#
port = 22

# Option:  protocol
# Values:  [ tcp | udp ]
#
protocol = tcp
 
So kann die action z.B. verwendet werden:
(in /etc/fail2ban/jail.local)
 
[sasl]

enabled  = true
filter   = sasl
maxretry = 4
bantime  = 300
findtime = 120
action   = ufw-multiport[port="25,465", protocol=tcp]
logpath  = /var/log/mail.log
 
Zu beachten: die Ports der action Parameter müssen zwingend numerisch angegeben werden.

Wie testen wir das Ergebnis?
Eine Möglichkeit wäre, den Login wie hier beschrieben von einer unwichtigen IP aus mehrmals nacheinander zu vergeigen, also statt den mime encoded Zugangsdaten irgendwas zu schreiben.
Geschrieben von Xela in Bash Snippets, Server um 15:54 | Kommentare (0) | Trackbacks (0)

Trackbacks
Trackback-URL für diesen Eintrag

Keine Trackbacks


Kommentare
Ansicht der Kommentare: (Linear | Verschachtelt)

Noch keine Kommentare


Kommentare deaktiviert
!-- Matomo -->