Fail2ban no bloquea ips

Piradoxlanieve · Jul 8th 2015

he seguido estos pasos:
http://wiki.i-mscp.net/doku.ph…t:howto:fail2ban#fail2ban

Tengo debian 8, pero supuestamente cuando instale el fail2ban el fichero de configuración lo guarda /etc/fail2ban/jail.conf
en vez de /etc/fail2ban/jail.local. como dice en el wiki, las conexiones al puerto 22 si las banea pero al puerto 80 parece ser que no.
También he probado a crear el fichero vacío ( /etc/fail2ban/jail.local.) pero no funciona por cierto hay que poner el punto al final? jail.local.( he probado de las dos formas)

root@panel:/etc/fail2ban# netstat -plan|grep :80 | awk {'print $5'} | cut -d: -f 1 | sort | uniq -c | sort -n
1 0.0.0.0
1 192.0.84.33
1 66.249.79.45
1 88.12.223.253
2
2 87.98.228.227
7 185.62.190.203
22 46.30.212.192
23 62.149.140.33
36 188.209.52.100
341 84.127.135.215
[/code]

Piradoxlanieve · Jul 8th 2015

para salir del paso estoy usando un script:
http://www.maestrosdelweb.com/…ismo-contra-ataques-ddos/

por si os ayuda peor he tenido que poner que se ejecute el script en crontab ya que el que ejecuta el el no me funcionaba

**kurgans** · Jul 8th 2015

Buenas,

Debes saber que fail2ban funciona en base a los logs, de ahi sacamos los registros y los bloqueos

Por ejemplo un wordpress

Le agregamos el JAIL

[apache-wp-login]
enabled = true
port= http,https
filter= apache-wp-login
action= iptables-multiport[name=ATAQUE-WP, port="http,https"]
sendmail-buffered[name=ATAQUE-WP, lines=5, dest=TU EMAIL]
logpath = /var/log/apache/access_error.log
maxretry = 5
findtime = 120

Con esto ya lo estas fichando

Y Luego su respectivo filtro

[Definition]
# Option: failregex
# Notes.: Regexp to catch Apache dictionary attacks on Wordpress wp-login
# Values: TEXT
#
failregex = .*] "(GET|POST) /wp-login.php
# Option: ignoreregex
# Notes.: regex to ignore. If this regex matches, the line is ignored.
# Values: TEXT
#
ignoreregex =

-------------------

--- Que implica esto que tienes que pasar el log de apache a un log general y no a los dominios como ahora de forma puedas leer el sistema, lee documentacion de como implantarlo o incluso usar modulos de apache com mod_evasive

Piradoxlanieve · Jul 11th 2015

yo pensé que poniendo a true el valor servia como para el ssh, para bloquear entonces es un poco rollo tener que estar creando las reglas, es mas cómodo con el script si establece mas de x conexiones bloquea esa ip , Gracias @kurgans

Fail2ban no bloquea ips

Share

Daily visitors