[FreeBSD] Fail2ban bant niks. - Linux en overige clients

dinsdag 1 januari 2008 13:57

Acties:

Topicstarter

Ik heb een FreeBSD NAS met daarop Fail2ban geinstalleerd tegen ssh en ftp attacks.

Na mijn eerste probleem getackeld te hebben _{fail2ban start de helft van de tijd niet omdat fail2ban-client na het starten van de server pingt offie ook echt up is, maar deze vaak gewoon niet reageert. Dit heb ik opgelost door eerst gewoon direct fail2ban-server te starten waarna ik met fail2ban-client de rules reload. ik doe niks met pid-files wat wss wel moet, maar tis freebsd waarvoor niks aan initscripts voorradig is.} loop ik weer tegen een nieuw probleem aan...

Mijn probleem is dat fail2ban niks bant. Als ik

fail2ban-regex /etc/fail2ban/filter.d/ssh.conf /var/log/auth.log

typ, krijg ik keurig te zien dat fail2ban een stuk of 80 matches heeft. De aanval ligt dan ook binnen de ingestelde laatste 10 uur, en dus zou de attacker gewoon een ban moeten krijgen.

Ik gebruik de OpenBSD packetfilter en heb derhalve een nieuwe file in actions.d gemaakt die overweg kan met packetfilter. De zaak zou allemaal moeten werken, maar et doet het niet... Wie weet waar ik het kan zoeken?

There is no replacement for displacement!

dinsdag 1 januari 2008 16:38

Acties:

FiscBiker

fail2ban ken ik niet, maar zo te horen doet het zijn naam eer aan

.

De website noemt pf niet als mogelijke firewall en het feit dat fail2ban niet in de ports zit, doet mij ook vermoeden dat het niet geschikt is voor pf.

Blij om te lezen dat je pf aan de gang hebt.
Je kan daarmee volledig wat jij omschrijft. Lees deze paragraaf maar eens.

Overigens heb ik de ervaring dat bots nooit terugkomen, blacklisten is dan dus vrij zinloos.

Ik wilde nog eens nakijken of er een centrale blacklist is waar we dit soort bot-IP's kunnen verzamelen en het resultaat weer verdelen zodat er een meer preventieve blacklist ontstaat, ipv een lijstje met 'known offenders' die toch niet meer terugkomen.

dinsdag 1 januari 2008 17:03

Acties:

_eXistenZ_

Topicstarter

F2B is geschikt voor welke firewall dan ook die een commandline tool heeft om on the fly de tabellen aan te passen

There is no replacement for displacement!

dinsdag 1 januari 2008 17:14

Acties:

IcE_364

FiscBiker schreef op dinsdag 01 januari 2008 @ 16:38:
fail2ban ken ik niet, maar zo te horen doet het zijn naam eer aan .

De website noemt pf niet als mogelijke firewall en het feit dat fail2ban niet in de ports zit, doet mij ook vermoeden dat het niet geschikt is voor pf.

Blij om te lezen dat je pf aan de gang hebt.
Je kan daarmee volledig wat jij omschrijft. Lees deze paragraaf maar eens.

Overigens heb ik de ervaring dat bots nooit terugkomen, blacklisten is dan dus vrij zinloos.

Ik wilde nog eens nakijken of er een centrale blacklist is waar we dit soort bot-IP's kunnen verzamelen en het resultaat weer verdelen zodat er een meer preventieve blacklist ontstaat, ipv een lijstje met 'known offenders' die toch niet meer terugkomen.

psst. http://denyhosts.sourceforge.net/ wel enkel controle op ssh, geen ftp logs. En zit in ports

dinsdag 1 januari 2008 20:04

Acties:

_eXistenZ_

Topicstarter

Nah ik hou et toch even bij fail2ban, aangezien ik ook http en ftp wil kunnen bannen. Het is niet zozeer dat het niet werkt omdat het op freebsd zit nu, hij triggered uberhaupt niet. Als ie wel wat zou doen maar niet de gewenste uitwerking had, was het mijn schuld omdat ik zelf die action gescheven heb, maar hij onderneemt uberhaupt geen actie. In de FAQ staat dat ik mijn time reference moet checken maar ik weet niet wat ze daar mee bedoelen. Ik NTP men server al dus hij staat sowieso goed qua tijd.

/edit

Opgelost \o/ Ik had een tikfout gemaakt in jail.conf bij de excluded ip list. Geen wonder dattie niet wist wattie moest doen... Het werkt nu perfect op FreeBSD met de OpenBSD Packet Filter.

[ Voor 16% gewijzigd door _eXistenZ_ op 01-01-2008 22:13 ]

There is no replacement for displacement!