失败2禁止不阻止IP

我已经安装了Fail2ban并试图让它阻止IP。根据日志，它检测SSH扫描并将IP地址添加到禁止列表中，但我仍然可以从禁止列表中的互联网上的测试IP进行SSH输入。

OS = openSUSE Leap 42.2

失败2禁令 v0.10.3

监狱本地：

[DEFAULT]
ignoreip = 127.0.0.1/8 192.168.1.0/24
ignorecommand =
bantime  = 1d
findtime  = 600
maxretry = 3
[ssh-iptables]
enabled  = true
filter   = sshd
action   = iptables[name=SSH, port=ssh, protocol=tcp]
abuseipdb[abuseipdb_apikey="my_key", abuseipdb_category="18,22"]
logpath  = /var/log/messages
maxretry = 3

正在拾取 IP 地址并说它已经被禁止？失败2ban.log文件：

2018-05-01 15:21:59,207 fail2ban.filter         [20450]: INFO    [ssh-iptables] Found x.x.x.x - 2018-05-01 15:21:59
2018-05-01 15:22:02,315 fail2ban.filter         [20450]: INFO    [ssh-iptables] Found x.x.x.x - 2018-05-01 15:22:02
2018-05-01 15:22:02,324 fail2ban.filter         [20450]: INFO    [ssh-iptables] Found x.x.x.x - 2018-05-01 15:22:02
2018-05-01 15:22:02,364 fail2ban.actions        [20450]: NOTICE  [ssh-iptables] x.x.x.x already banned

失败2ban-client status ssh-iptables 的状态

Status for the jail: ssh-iptables
|- Filter
|  |- Currently failed: 1
|  |- Total failed:     51
|  `- File list:        /var/log/messages
`- Actions
|- Currently banned: 47
|- Total banned:     437

IP 表的输出：

Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
f2b-SSH    tcp  --  anywhere             anywhere             tcp dpt:ssh
Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         
Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         
Chain f2b-SSH (1 references)
target     prot opt source               destination

除此之外，没有任何东西被发送到滥用IPDB。我错过了什么吗？

我已经阅读了一些论坛，但似乎无法让它工作。

设法让它工作。重新启动 fail2ban 修复了阻塞问题。奇怪的是，我做了一个失败的2ban客户端重新加载，这没有帮助。不得不杀死并重新启动服务。

Abuseipdb 已通过更改 jail.local 文件修复

action   = iptables[name=SSH, port=ssh, protocol=tcp]
abuseipdb[abuseipdb_category="18,22"]

首先确保 fail2ban 在 v0.10.0 版本中，要知道这个输入：

fail2ban-client -V

https://www.abuseipdb.com 的报告功能仅是此版本的本机功能。

如果您有以前的版本，则应执行以下操作：

sudo nano /etc/fail2ban/action.d/abuseipdb.conf

将链接 https://github.com/fail2ban/fail2ban/blob/0.11/config/action.d/abuseipdb.conf 的内容粘贴到文件中并保存。

然后打开/etc/fail2ban/jail.local 并在包含操作 =% (action_( 的行之前粘贴以下内容：

# Report ban via abuseipdb.com.
#
# See action.d / abuseipdb.conf for usage example and details.
#
action_abuseipdb = abuseipdb

然后在 jail 中加入对应您要举报的服务的内容(这里我以残酷的武力 ssh 为例(：

# Ban IP and report to AbuseIPDB for SSH Brute-Forcing
action =% (action_) s
% (action_abuseipdb) s [abuseipdb_apikey = "my-api-key", abuseipdb_category = "18,22"]

用您在网站上创建的密钥填写"my-api-key"abuseipdb，然后

fail2ban-client reload

如果您有任何疑问，参考资料在这里：

https://www.abuseipdb.com/fail2ban.html

相关内容

最新更新

热门标签：