Jak prawidłowo odblokować adres IP za pomocą Fail2Ban

Korzystam z Fail2Ban na serwerze i zastanawiam się, jak prawidłowo odblokować adres IP.

Wiem, że mogę pracować bezpośrednio z IPTables: iptables -D fail2ban-ssh <number>

Ale czy nie ma na to sposobu fail2ban-client?

W podręcznikach stwierdza coś takiego: fail2ban-client get ssh actionunban <IP>. Ale to nie działa.

Poza tym nie chcę, /etc/init.d/fail2ban restartponieważ straciłoby to wszystkie zakazy na liście.

W przypadku Fail2Ban przed wersją 0.8.8:

fail2ban-client get YOURJAILNAMEHERE actionunban IPADDRESSHERE

W przypadku Fail2Ban v0.8.8 i nowszych:

fail2ban-client set YOURJAILNAMEHERE unbanip IPADDRESSHERE

Trudność polega na znalezieniu odpowiedniego więzienia:

1. Użyj, iptables -L -naby znaleźć nazwę reguły ...
2. ... następnie użyj, fail2ban-client statusaby uzyskać rzeczywiste nazwy więzienia. Nazwa reguły i nazwa więzienia mogą nie być takie same, ale powinno być jasne, z którą jest związana.

Ponieważ v0.8.8 jest unbanipdostępna opcja ( actionunbannie w tym celu). Można ją uruchomić za pomocą setpolecenia, jeśli spojrzysz na listę opcji, zobaczysz, że jest to składnia. Tak będzie (na pamięć, sprawdź):

fail2ban-client set ssh-iptables unbanip IPADDRESSHERE 

bardziej ogólny:

fail2ban-client set JAILNAMEHERE unbanip IPADDRESSHERE

pracuje dla mnie

Przykład dla SSH w trybie interaktywnym.

wpisz bash:

fail2ban-client -i

następnie w trybie interaktywnym wpisz status więzienia:

status sshd

dostaniesz:

Status for the jail: ssh
|- Filter
|  |- Currently failed: 0
|  |- Total failed: 6
|  `- File list:    /var/log/auth.log
`- Actions
   |- Currently banned: 1
   |- Total banned: 2
   `- Banned IP list:   203.113.167.162

następnie wpisz interaktywny tryb fail2ban:

set sshd unbanip 203.113.167.162

dostaniesz:

203.113.167.162

oznacza to, że nie ma już 203.113.167.162na liście banów.

Odpowiedź ukody jest błędna:

Zadzwoń fail2ban-clientbez parametrów, a zobaczysz listę możliwych poleceń:

get JAIL actionunban ACT             

Pobiera to polecenie unban dla akcji ACT dla JAIL.

Spójrz na parametr akcji zdefiniowanego w więzieniu, prawdopodobnie masz akcję iptables, a może trochę więcej jak sendmail, whois lub cokolwiek innego. więc jeśli twoja akcja była iptables, będzie to wyglądać tak:

fail2ban-client get JAIL actionunban iptables

a odpowiedź będzie:

iptables -D fail2ban-NAME -s IP -j DROP

Pokaże ci tylko, co musiałbyś napisać za unban. Nie ma samego polecenia odblokowania.

Jeśli 192.168.2.1 jest zbanowany

sudo iptables -L

Sprawdź, w którym łańcuchu jest zabronione, np

Chain fail2ban-sasl (1 referencje)

DROP all - 192.168.2.1 w dowolnym miejscu

Następnie:

# to view the proper command for un-banning
sudo fail2ban-client get sasl actionunban
# actual command
iptables -D fail2ban-sasl -s 192.168.2.1 -j DROP

Najpierw musisz uzyskać nazwę więzienia. Możesz uzyskać listę (w większości przypadków będzie to tylko więzienie ssh):

fail2ban-client status

Po uzyskaniu nazwy więzienia możesz sprawdzić, które adresy IP są ignorowane.

fail2ban-client get ssh ignoreip

Jeśli twój adres IP znajduje się na liście ignorowanych, możesz go usunąć poprzez:

fail2ban-client set ssh delignoreip your_ip_address
vi /etc/hosts.deny

Usuń wpis hosta:

fail2ban-client reload

Korzystanie z fail2ban v.0.8.6:

$ sudo fail2ban-client status # to reveal your JAIL name (mine is ssh)
$ sudo fail2ban-client set ssh delignoreip your_ip_address
$ sudo nano /etc/hosts.deny # delete your ip address
$ sudo fail2ban-client reload

niestety w wersji 0.8.2 klienta fail2ban polecenie:

fail2ban-client get jail actionunban ipaddress

nie działa. Aby rozwiązać problem, najlepszym wyborem jest uaktualnienie fail2ban do najnowszej wersji i użycie nowej opcji:

unbanip

fail2ban-client set sshd unbanip ip_here

pracowałbym.

Jeśli adres IP znajduje się w wielu więzieniach, staje się to bólem.

one-liner do usunięcia 192.168.1.2 ze wszystkich więzień:

 for jail in $(fail2ban-client status | grep 'Jail list:' | sed 's/.*Jail list://' | sed 's/,//g'); do fail2ban-client set $jail unbanip 192.168.1.2; done

skrypt, aby zrobić to samo https://gist.github.com/yolabingo/c810db6fe7f8bfcb9eb4f6ffc531e474

Jeśli korzystasz z wersji v0.10.2:

sudo fail2ban-client unban YOUR_IP_ADDRESS

To z pomocy:

unban <IP> ... <IP> unbans <IP> (in all jails and database)

Potwierdzono działanie w moim przypadku, gdy najprawdopodobniej zostałem zbanowany z powodu wielokrotnego logowania klienta ssh przy użyciu nieprawidłowego hasła.