Fail2ban:无法更改默认链

Fail2ban:无法更改默认链

好的:所以我在 Debian 8.7 机器上安装了fail2ban:我的 iptables 如下所示:

-P INPUT ACCEPT
-P FORWARD ACCEPT
-P OUTPUT ACCEPT
-N fail2ban-ssh-daily
-N fail2ban-ssh-permaban
-N fail2ban-ssh-yearban

-N fail2ban-sshd
-A INPUT -p tcp -m multiport --dports 22 -j fail2ban-sshd
-A fail2ban-sshd -j RETURN

-N fail2ban-sshd
-A INPUT -p tcp -m multiport --dports 22 -j fail2ban-sshd
-A fail2ban-sshd -j RETURN

默认为fail2ban.sshd- 我希望命名规则:

  • -N fail2ban-ssh-daily(对于默认的fail2ban-sshd禁令)
  • -N fail2ban-ssh-permaban(对于永久禁令)
  • -N fail2ban-ssh-yearban(针对年度禁令)

我希望默认配置停止添加fail2ban.sshd,并且我想使用fail2ban 来设置监狱,这将允许我:

  1. 设置每日禁令链 - 每日禁令将在 24 小时后删除(我也希望记录 ip,但 /etc/fail2ban/ip.blocklist.name 不会记录任何禁令 - 它甚至不会创建文件,并且当我触摸它时,它停留在- 我想要 3 个日志 - 每日、每年和永久 - 这样当达到适当的阈值时,该 ip 就会被禁止,将其放置在正确的链中(每日、永久、年度),然后它会生成 ip.blocklist.ssh -daily, ip.blocklist.ssh-yearban 和 ip.blocklist.ssh-permaban) 但我无法摆脱fail2ban.sshd链 - 我想在“fail2ban-ssh-daily”中看到每日禁令如何我应该这样做,并保留我指定的链吗?)我还想确保 iptables 规则也正确。
  2. 设置年度禁令链:年度禁令适用于那些试图不断尝试进入我的服务器并且他们每天都在尝试的人。这些用户将被放置在fail2ban-ssh-yearban中,然后他们的IP被记录并加载到ip.blocklist.yearban中。这些用户在对我的服务器进行了大约 100 次尝试后将被禁止 1 年。
  3. 设置 PERMABAN 链:PERMA 禁令是那些不断尝试攻击我的服务器的人,或者那些最糟糕的 IP:中国、印度等。这些 IP 将被放置在fail2ban-ssh-PERMABAN 中,有他们的 IP 被记录下来,放置在hosts.deny 中,然后报告给 badips.com 或任何站点名称。我想我已将其设置为针对我的服务器进行 500 次尝试。

问题是:我只看到对与fail2ban相关的问题的普通答复:我必须设置action.d/iptables-multiport文件以及所需的任何过滤器,但我想配置iptables-ssh-daily、iptables- ssh-yearban 和 iptables-ssh-permaban 每个实例的配置文件,但我尝试过但惨败。

我还在 /var/log/fail2ban.log 中收到很多垃圾信息,错误告诉我它由于某种我无法弄清楚的原因而没有禁止某个地址 - 它会破坏fail2ban,除非我只是启动它并且不这样做更改任何内容 - 否则它不会将 ip 添加到阻止列表中,无论它们是否存在,并且它只是无法正确过滤 - 它会通过邮件告诉我某个 IP 已被禁止,但随后在failtoban 日志中,我得到 6 -7 的相同的IP被封禁,未登录或封禁。

有谁知道如何做我想做的事?我想跟踪这些尝试,但系统不想正常工作除非我把它留存。

如何更改fail2ban,以便获得以下链名称并让系统将禁令添加到恰当的每日连锁、年度连锁和 Permaban 连锁店?

他们都被划掉了红色的并且fail2ban.sshd仍然存在。绿色的编辑没有帮助,也没有回答我提出的问题:

  1. 我想要使​​用的规则: -N failure2ban-ssh-daily (用于默认的fail2ban-sshd禁令) -N failure2ban-ssh-permaban (用于永久禁令) -N failure2ban-ssh-yearban (用于每年禁令)(它添加了 - N Fail2ban.sshd 这是 IP 唯一去的地方)
  2. 我想为每个禁止类型配置 iptables 文件,并为相关链 ip.blocklist.daily、ip.blocklist.yearly 和 ipblocklist.permaban 提供一个 ip.blocklist
  3. 我需要 iptables 方面的一些帮助,以便禁令能够到达正确的链。我将把ijail.local文件放在下面作为我想要使用的监狱:

    [ssh-daily]
    enabled  = false
    filter   = sshd
    action   = iptables-ssh-daily[name=ssh-daily]
               sendmail-whois[name=SSH-Daily, dest=root@localhost, sender=root@localhost]
    logpath  = %(sshd_log)s
    maxretry = 10
    findtime = 600
    bantime  = 86400
    
    [ssh-yearban]
    enabled  = false
    filter   = sshd
    action   = iptables-ssh-yearban[name=ssh-yearban]
               sendmail-whois[name=SSH-Yearban, dest=root@localhost, sender=root@localhost]
    logpath  = %(sshd_log)s
    maxretry = 35
    findtime = 3153600
    bantime  = 3153600
    
    [ssh-permaban]
    enabled  = true
    filter   = sshd
    action   = iptables-ssh-permaban[name=ssh-permaban]
               sendmail-whois[name=SSH-PermaBan dest=root@localhost, sender=root@localhost]
    logpath  = %(sshd_log)s
    maxretry = 100
    findtime = -3153600
    bantime  = -3153600
    

监狱应该可以工作,但我需要确保对于每个节,它都将 IP 添加到每日、每年和 Permaban 链和阻止列表中。它只是到处出错,我有很多垃圾in /var/log/fail2ban.log- 我想自定义设置,但无法让它正常工作。

现在,有人可以告诉我我需要做什么才能使用正确的规则编辑 iptables,并帮助我确保操作线正常工作吗?

相关内容