Fail2Ban odblokowuje ipaddress

11

Próbuję odblokować adres IP bez ponownego uruchamiania Fail2Ban za każdym razem, jaki jest najlepszy sposób? Czy możesz wskazać mi przydatny przewodnik?

Jak widać poniżej adres IP, który próbuję usunąć to: 89.31.259.161

# iptables -L -n

    Chain INPUT (policy DROP)
    target     prot opt source               destination
    fail2ban-apache-badbots  tcp  --  0.0.0.0/0            0.0.0.0/0           multiport dports 80,443
    fail2ban-httpd  tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:80
    fail2ban-sasl  tcp  --  0.0.0.0/0            0.0.0.0/0           multiport dports 25,465,143,220,993,110,995
    fail2ban-SSH  tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:22
    fail2ban-httpd  tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:443
    fail2ban-httpd  tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:80
    fail2ban-vsftpd  tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:21
    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           multiport dports 80,443,25,465,110,995,143,993,587,465,21,20,2855
    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0
    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:54000

    Chain FORWARD (policy DROP)
    target     prot opt source               destination

    Chain OUTPUT (policy ACCEPT)
    target     prot opt source               destination

    Chain fail2ban-SSH (1 references)
    target     prot opt source               destination
    RETURN     all  --  0.0.0.0/0            0.0.0.0/0

    Chain fail2ban-apache-badbots (1 references)
    target     prot opt source               destination
    RETURN     all  --  0.0.0.0/0            0.0.0.0/0

    Chain fail2ban-httpd (3 references)
    target     prot opt source               destination
    DROP       all  --  89.31.259.161        0.0.0.0/0
    DROP       all  --  89.31.259.161        0.0.0.0/0
    RETURN     all  --  0.0.0.0/0            0.0.0.0/0
    RETURN     all  --  0.0.0.0/0            0.0.0.0/0
    RETURN     all  --  0.0.0.0/0            0.0.0.0/0

Chain fail2ban-sasl (1 references)
target     prot opt source               destination
RETURN     all  --  0.0.0.0/0            0.0.0.0/0

Chain fail2ban-vsftpd (1 references)
target     prot opt source               destination
RETURN     all  --  0.0.0.0/0            0.0.0.0/0

Byłem w stanie uruchomić: iptables -D fail2ban-httpd -s 89.31.259.161 -j DROPchociaż to tylko usunęło jedną z linii.

John Magnolia
źródło

Odpowiedzi:

15

Użyj --line-numbersopcji iptables, aby uzyskać listę, która pokazuje numery wierszy reguł w łańcuchu, np

iptables -L fail2ban-SSH -v -n --line-numbers
Chain fail2ban-SSH (1 references)
num   pkts bytes target     prot opt in     out   source              destination
1       19  2332 DROP       all  --  *      *     193.87.172.171      0.0.0.0/0
2       16  1704 DROP       all  --  *      *     222.58.151.68       0.0.0.0/0
3       15   980 DROP       all  --  *      *     218.108.224.81      0.0.0.0/0
4        6   360 DROP       all  --  *      *     91.196.170.231      0.0.0.0/0
5     8504  581K RETURN     all  --  *      *     0.0.0.0/0           0.0.0.0/0

Następnie użyj, iptables -D chain rulenumaby usunąć te, których nie chcesz, np

iptables -D fail2ban-SSH 1

usunąłby

1       19  2332 DROP       all  --  *      *     193.87.172.171      0.0.0.0/0

wiersz z powyższego przykładu. Zauważ, że wszystko jest numerowane, dzięki czemu możesz ponownie uruchomić to samo polecenie, aby usunąć nową regułę 1 w łańcuchu.

użytkownik9517
źródło
To zadziała - AŻ DO zrestartowania serwera lub fail2ban. Odpowiedź od @Ndianabasi jest lepsza.
TheStoryCoder
5

Z mojego doświadczenia z Fail2ban, odblokowanie adresu IP bezpośrednio przez IPTABLES spowoduje, że IP zostanie ponownie zbanowany przez Fail2ban, jeśli usługa Fail2ban zostanie ponownie uruchomiona w czasie Ban.

Biorąc to pod uwagę, najskuteczniejszym i najczystszym sposobem odblokowania adresu IP zablokowanego przez Fail2ban jest użycie klienta fail2ban.

Krok 1: Zanotuj nazwę więzienia, sprawdzając dziennik Fail2ban

sudo zgrep 'Ban' /var/log/fail2ban.log

Przykładowe dane wyjściowe:

2017-11-03 04: 30: 14.509 fail2ban.actions [25091]: UWAGA [nginx-badbots] Ban 47.15.15.49 2017-11-03 04: 37: 29.597 fail2ban.actions [27065]: UWAGA [nginx-badbots] Ban 103.31.87.187 2017-11-03 04: 37: 30,124 fail2ban.actions [27065]: UWAGA [nginx-badbots] Ban 201.33.170.251 2017-11-03 04: 37: 30 364 fail2ban.actions [27065]: UWAGA [ nginx-badbots] Ban 47.15.15.49 2017-11-03 04: 38: 06,754 fail2ban.actions [27065]: NOTICE [vsftpd] Ban 128.20.12.68

Jeśli jesteśmy zainteresowani odblokowaniem adresu IP - 128.20.12.68 - nazwa Jail to vsftpd.

Krok 2: Odblokuj adres IP za pomocą klienta fail2ban. Ogólny format to:

sudo fail2ban-client set [JAIL] unbanip [xx.xx.xx.xx]

Teraz uruchom:

sudo fail2ban-client set vsftpd unbanip 128.20.12.68

Przykładowe dane wyjściowe:

128.20.12.68

Krok 3: Potwierdź odblokowanie z dziennika Fail2ban

sudo tail -f /var/log/fail2ban.log

Przykładowe dane wyjściowe:

2017-11-03 04: 38: 13,332 fail2ban.actions [27065]: UWAGA [vsftpd] Unban 128.20.12.68

Ndianabasi
źródło
1
To powinna być zaakceptowana odpowiedź.
TheStoryCoder