[Fail2ban] Dejó de autobanear después de actualizar !

Iniciado por Diabliyo, 27 Diciembre 2015, 20:49 PM

0 Miembros y 1 Visitante están viendo este tema.

Diabliyo

Buen día gente, hace muchísimo que no me pasaba por aquí, pero como mi problema ya sobrepaso a las personas de la lista de correos (no tienen idea del problema....), pues recurro a este lugar haber si alguien puede aportarme algún comentario o solución :D !

Citarshell# uname -a
Linux server.midominio.com 2.6.32-573.12.1.el6.x86_64 #1 SMP Tue Dec 15 21:19:08 UTC 2015 x86_64 x86_64 x86_64 GNU/Linux

shell# cat /etc/centos-release
CentOS release 6.7 (Final)

Resulta que tengo fail2ban para bloquear las IPs que intentan hacerme bruteforcing a mi puerto SSH, todo funcionaba muy bien desde hace mucho tiempo, pero justamente el 23-Diciembre-2015, aprovechando un aviso de suspensión de actividades en mis servidores, pues realice update a todo el sistema.

Despues de revisar todos mis servicios, note que el unico que no trabajaba como deberia, era fail2ban, el problema que tiene es que no esta banneando las IPs que sobrepasan el numero de intentos permitidos para logeo en puerto SSH.

Mi configuracion:

fail2ban-client version
Citar0.9.3

shell# cat /etc/fail2ban/jail.conf
Citar[DEFAULT]
ignoreip = 127.0.0.1/8 miIP/24
ignorecommand =
bantime  = 86400
findtime  = 600
maxretry = 3
backend = auto
usedns = warn
[pam-generic]
enabled = false
filter  = pam-generic
action  = iptables-allports[name=pam,protocol=all]
logpath = /var/log/secure

[ssh-iptables]
enabled  = true
filter   = sshd
action   = iptables-multiport[name=SSH, port=ssh, protocol=tcp]
logpath  = /var/log/secure
maxretry = 3

shell# cat /etc/fail2ban/action.d/iptables-multiport.conf
Citaractionstart = iptables -N fail2ban-<name>
             iptables -A fail2ban-<name> -j RETURN
             iptables -I <chain> -p <protocol> -m multiport --dports <port> -j fail2ban-<name>
             cat /etc/fail2ban/ip.blacklist | while read IP; do iptables -I fail2ban-<name> 1 -s $IP -j DROP; done

actionstop = iptables -D <chain> -p <protocol> -m multiport --dports <port> -j fail2ban-<name>
            iptables -F fail2ban-<name>
            iptables -X fail2ban-<name>

actionban = iptables -I fail2ban-<name> 1 -s <ip> -j DROP
           echo <ip> >> /etc/fail2ban/ip.blacklist

En conclusion cada vez que una IP sobrepasa el numero de intentos, es colocada su IP en una lista negra /etc/fail2ban/ip.blacklist, despues se le coloca una regla IPTables con tipo de bloqueo DROP.

Como es obvio, ya no se mete la IP a "ip.blacklist" y tampoco se coloca la regla iptable :(

Saludos !

Diabliyo

solucionado :D !...

Eran las variables definidad por fail2ban que se usan el iptables-multiport.conf, al actualizarse el fail2ban cambiaron los nombres de las variables y deben cambiarse a como se piden actualmente, y todo continua funcionando con normalidad :D !

Saludos !