Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!

Ogłoszenie

Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.

#1  2017-09-01 12:06:41

  urbinek - Użytkownik

urbinek
Użytkownik
Skąd: Sosnowiec
Zarejestrowany: 2009-10-01
Serwis

fail2ban nie wykonuje zadanej akcji

Bry, próbuje pożenić fail2ban z Mikrotikiem. Parsuje 2 logi:
- lokalny log na serwerze z prób logowania do ssh
- odbierany log z prób logowania do ipsec'a na MikroTiku


Po uruchomieniu usługi adresy wykryte w SSH są dodawane, adresy wykryte w ipsec nie..

Konfiguracja jest podobna, filtry działają a mimo to ssh działa a ipsec nie...

Kod:

# cat /etc/fail2ban/jail.local
[DEFAULT]
bantime = 129600

[sshd]
enabled = true
banaction = mikrotik
maxentry = 3

[MikroTik-ipsec]
enabled = true
banaction = mikrotik-ipsec
logpath = /var/log/MikroTik/gw.urbinek.eu.log
maxretry = 3

Kod:

# cat /etc/fail2ban/filter.d/ipsec-mt.local
#Aug 30 12:09:08 ipsec Invalid exchange type 243 from 188.175.170.249[20673].
#Aug 30 13:47:17 gw.urbinek.eu ipsec,error 93.153.251.14 failed to get valid proposal.
#Aug 30 13:47:17 gw.urbinek.eu ipsec,error 93.153.251.14 failed to pre-process ph1 packet (side: 1, status 1).
#Aug 30 13:47:17 gw.urbinek.eu ipsec,error 93.153.251.14 phase1 negotiation failed.
#Sep  1 11:08:16 ipsec no IKEv1 peer config for 46.134.127.211

[Definition]
failregex = ipsec Invalid exchange type \d+ from <HOST>\[\d+\]\.
            ipsec,error <HOST> failed to get valid proposal.
            ipsec no IKEv1 peer config for <HOST>

Kod:

# cat /etc/fail2ban/action.d/mikrotik.local
[Definition]
actionban = ssh -i /tmp/mikrotik_2048 admin-ssh@gw.urbinek.eu '/ip firewall address-list add address="<ip>" comment="via_fail2ban" list="_blokuj"'

Kod:

# cat /etc/fail2ban/action.d/mikrotik-ipsec.local
[Definition]
actionban = ssh -i /tmp/mikrotik_2048 admin-ssh@gw.urbinek.eu '/ip firewall address-list add address="<ip>" comment="via_fail2ban" list="_blokuj-ipsec"'

Kod:

# fail2ban-regex /var/log/MikroTik/gw.urbinek.eu.log /etc/fail2ban/filter.d/ipsec-mt.local

Running tests
=============

Use   failregex filter file : ipsec-mt, basedir: /etc/fail2ban
Use         log file : /var/log/MikroTik/gw.urbinek.eu.log
Use         encoding : UTF-8


Results
=======

Failregex: 388 total
|-  #) [# of hits] regular expression
|   1) [309] ipsec Invalid exchange type \d+ from <HOST>\[\d+\]\.
|   2) [71] ipsec,error <HOST> failed to get valid proposal.
|   3) [8] ipsec no IKEv1 peer config for <HOST>
`-

Ignoreregex: 0 total

Date template hits:
|- [# of hits] date format
|  [22530] (?:DAY )?MON Day 24hour:Minute:Second(?:\.Microseconds)?(?: Year)?
`-

Lines: 22530 lines, 0 ignored, 388 matched, 22142 missed
[processed in 9.14 sec]

Missed line(s): too many to print.  Use --print-all-missed to print all 22142 lines

Kod:

# fail2ban-client status sshd
Status for the jail: sshd
|- Filter
|  |- Currently failed: 0
|  |- Total failed:     0
|  `- Journal matches:  _SYSTEMD_UNIT=sshd.service + _COMM=sshd
`- Actions
   |- Currently banned: 5
   |- Total banned:     5
   `- Banned IP list:   151.84.145.9 181.22.203.98 186.4.156.124 89.75.102.88 95.213.202.178

Kod:

# fail2ban-client status MikroTik-ipsec
Status for the jail: MikroTik-ipsec
|- Filter
|  |- Currently failed: 0
|  |- Total failed:     0
|  `- File list:        /var/log/MikroTik/gw.urbinek.eu.log-test
`- Actions
   |- Currently banned: 0
   |- Total banned:     0
   `- Banned IP list:

Macie jakieś pomysły co robię źle bo mi już brakuje

Ostatnio edytowany przez urbinek (2017-09-01 12:11:34)


A w wolnym czasie, robię noże :)
[img]http://nginx.urbinek.eu/_photos/signature.png[/img]

Offline

 

#2  2017-09-01 12:28:53

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/urandom
Zarejestrowany: 2008-01-07

Re: fail2ban nie wykonuje zadanej akcji

Nie lepiej zatrudnić do tego samego iptablesa?

Rzuć okiem na to:
https://forum.dug.net.pl/viewtopic.php?pid=269260

i na to:
https://forums.gentoo.org/viewtopic-p-7081326.html

Do tego SYNCOOKIES, i powinno być ok.

Ja fail2bana nigdy do niczego nie potrzebowałem.


Chyba, że masz do chronienia serwer VOIP, to wtedy musisz zatrudnić moduł string netfiltera, i jest z tym troszkę więcej zabawy.

Pozdro

Ostatnio edytowany przez Jacekalex (2017-09-01 12:29:52)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#3  2017-09-01 12:44:16

  urbinek - Użytkownik

urbinek
Użytkownik
Skąd: Sosnowiec
Zarejestrowany: 2009-10-01
Serwis

Re: fail2ban nie wykonuje zadanej akcji

Generalnie nie szukam jakiegoś rozwiązania tylko chce uruchomić to :)

Mogę użyć iptables lokalnie - to jeden ze sposób, który już wcześniej ustawiłem wcześniej i działał bez problemu ale chce się tym pobawić i robić coś scentralizowanego (For science!).

Zachowanie systemu jest takie jakbym chciał ale nie wiem czemu ten jeden jail nie działa w ogóle


A w wolnym czasie, robię noże :)
[img]http://nginx.urbinek.eu/_photos/signature.png[/img]

Offline

 

#4  2017-09-01 13:26:31

  urbinek - Użytkownik

urbinek
Użytkownik
Skąd: Sosnowiec
Zarejestrowany: 2009-10-01
Serwis

Re: fail2ban nie wykonuje zadanej akcji

magia, zrestartowałem usługę, poszedłem na obiadek - zaczęło działać :D


A w wolnym czasie, robię noże :)
[img]http://nginx.urbinek.eu/_photos/signature.png[/img]

Offline

 

Stopka forum

Powered by PunBB
© Copyright 2002–2005 Rickard Andersson
Nas ludzie lubią po prostu, a nie klikając w przyciski ;-)

[ Generated in 0.008 seconds, 11 queries executed ]

Informacje debugowania

Time (s) Query
0.00012 SET CHARSET latin2
0.00004 SET NAMES latin2
0.00098 SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='3.135.209.107' WHERE u.id=1
0.00119 REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '3.135.209.107', 1732717409)
0.00044 SELECT * FROM punbb_online WHERE logged<1732717109
0.00089 SELECT topic_id FROM punbb_posts WHERE id=313884
0.00057 SELECT id FROM punbb_posts WHERE topic_id=29875 ORDER BY posted
0.00059 SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=29875 AND t.moved_to IS NULL
0.00004 SELECT search_for, replace_with FROM punbb_censoring
0.00078 SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=29875 ORDER BY p.id LIMIT 0,25
0.00111 UPDATE punbb_topics SET num_views=num_views+1 WHERE id=29875
Total query time: 0.00675 s