Fail2Ban desbloquear ipaddress

11

Estoy tratando de desbloquear una dirección IP sin reiniciar Fail2Ban cada vez, ¿cuál es la mejor manera de hacerlo? ¿O puedes señalarme en la dirección de una guía útil?

Como puede ver a continuación, la dirección IP que estoy tratando de eliminar es: 89.31.259.161

# iptables -L -n

    Chain INPUT (policy DROP)
    target     prot opt source               destination
    fail2ban-apache-badbots  tcp  --  0.0.0.0/0            0.0.0.0/0           multiport dports 80,443
    fail2ban-httpd  tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:80
    fail2ban-sasl  tcp  --  0.0.0.0/0            0.0.0.0/0           multiport dports 25,465,143,220,993,110,995
    fail2ban-SSH  tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:22
    fail2ban-httpd  tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:443
    fail2ban-httpd  tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:80
    fail2ban-vsftpd  tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:21
    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           multiport dports 80,443,25,465,110,995,143,993,587,465,21,20,2855
    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0
    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:54000

    Chain FORWARD (policy DROP)
    target     prot opt source               destination

    Chain OUTPUT (policy ACCEPT)
    target     prot opt source               destination

    Chain fail2ban-SSH (1 references)
    target     prot opt source               destination
    RETURN     all  --  0.0.0.0/0            0.0.0.0/0

    Chain fail2ban-apache-badbots (1 references)
    target     prot opt source               destination
    RETURN     all  --  0.0.0.0/0            0.0.0.0/0

    Chain fail2ban-httpd (3 references)
    target     prot opt source               destination
    DROP       all  --  89.31.259.161        0.0.0.0/0
    DROP       all  --  89.31.259.161        0.0.0.0/0
    RETURN     all  --  0.0.0.0/0            0.0.0.0/0
    RETURN     all  --  0.0.0.0/0            0.0.0.0/0
    RETURN     all  --  0.0.0.0/0            0.0.0.0/0

Chain fail2ban-sasl (1 references)
target     prot opt source               destination
RETURN     all  --  0.0.0.0/0            0.0.0.0/0

Chain fail2ban-vsftpd (1 references)
target     prot opt source               destination
RETURN     all  --  0.0.0.0/0            0.0.0.0/0

Pude ejecutar: iptables -D fail2ban-httpd -s 89.31.259.161 -j DROPaunque esto solo eliminó una de las líneas.

iptables fail2ban John Magnolia
fuente

Ver serverfault.com/questions/285256/…

psp

15

Use la --line-numbersopción iptables para obtener una lista que muestra los números de línea para las reglas en una cadena, por ejemplo

iptables -L fail2ban-SSH -v -n --line-numbers
Chain fail2ban-SSH (1 references)
num   pkts bytes target     prot opt in     out   source              destination
1       19  2332 DROP       all  --  *      *     193.87.172.171      0.0.0.0/0
2       16  1704 DROP       all  --  *      *     222.58.151.68       0.0.0.0/0
3       15   980 DROP       all  --  *      *     218.108.224.81      0.0.0.0/0
4        6   360 DROP       all  --  *      *     91.196.170.231      0.0.0.0/0
5     8504  581K RETURN     all  --  *      *     0.0.0.0/0           0.0.0.0/0

Luego use iptables -D chain rulenumpara eliminar los que no desea, por ejemplo

iptables -D fail2ban-SSH 1

eliminaría el

1       19  2332 DROP       all  --  *      *     193.87.172.171      0.0.0.0/0

línea del ejemplo anterior. Tenga en cuenta que todo se renumera para que pueda ejecutar el mismo comando nuevamente para eliminar la nueva regla 1 de la cadena.

usuario9517
fuente

Esto funcionará - HASTA que reinicie el servidor o fail2ban. La respuesta de @Ndianabasi es mejor.

TheStoryCoder

5

Según mi experiencia con Fail2ban, desbancar una dirección IP directamente a través de IPTABLES hará que Fail2ban vuelva a prohibir la IP si el servicio Fail2ban se reinicia dentro del tiempo de prohibición.

Dicho esto, la forma más efectiva y limpia de desbancar una dirección IP prohibida por Fail2ban es usar el cliente fail2ban.

Paso 1: tome nota del nombre de la cárcel marcando el registro de Fail2ban

sudo zgrep 'Ban' /var/log/fail2ban.log

Salida de muestra:

2017-11-03 04: 30: 14,509 fail2ban.actions [25091]: AVISO [nginx-badbots] Ban 47.15.15.49 2017-11-03 04: 37: 29,597 fail2ban.actions [27065]: AVISO [nginx-badbots] Prohibición 103.31.87.187 2017-11-03 04: 37: 30,124 fail2ban.actions [27065]: AVISO [nginx-badbots] Prohibición 201.33.170.251 2017-11-03 04: 37: 30,364 fail2ban.actions [27065]: AVISO [ nginx-badbots] Prohibición 47.15.15.49 2017-11-03 04: 38: 06,754 fail2ban.actions [27065]: AVISO [vsftpd] Prohibición 128.20.12.68

Si estamos interesados en desbancar la dirección IP - 128.20.12.68 - entonces el nombre de la cárcel es vsftpd.

Paso 2: desbloquee la dirección IP utilizando fail2ban-client. El formato general es:

sudo fail2ban-client set [JAIL] unbanip [xx.xx.xx.xx]

Ahora ejecuta:

sudo fail2ban-client set vsftpd unbanip 128.20.12.68

Salida de muestra:

128.20.12.68

Paso 3: Confirme la eliminación del registro de Fail2ban

sudo tail -f /var/log/fail2ban.log

Salida de muestra:

2017-11-03 04: 38: 13,332 fail2ban.actions [27065]: AVISO [vsftpd] Unban 128.20.12.68

Ndianabasi
fuente

1

Esta debería ser la respuesta aceptada.

TheStoryCoder

Fail2Ban desbloquear ipaddress

Respuestas: