Fail2Ban débloquer l'adresse IP

11

J'essaie de débloquer une adresse IP sans redémarrer Fail2Ban à chaque fois, quelle est la meilleure façon de procéder? Ou pouvez-vous me diriger vers un guide utile?

Comme vous pouvez le voir ci-dessous, l'adresse IP que j'essaie de supprimer est: 89.31.259.161

# iptables -L -n

    Chain INPUT (policy DROP)
    target     prot opt source               destination
    fail2ban-apache-badbots  tcp  --  0.0.0.0/0            0.0.0.0/0           multiport dports 80,443
    fail2ban-httpd  tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:80
    fail2ban-sasl  tcp  --  0.0.0.0/0            0.0.0.0/0           multiport dports 25,465,143,220,993,110,995
    fail2ban-SSH  tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:22
    fail2ban-httpd  tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:443
    fail2ban-httpd  tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:80
    fail2ban-vsftpd  tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:21
    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           multiport dports 80,443,25,465,110,995,143,993,587,465,21,20,2855
    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0
    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:54000

    Chain FORWARD (policy DROP)
    target     prot opt source               destination

    Chain OUTPUT (policy ACCEPT)
    target     prot opt source               destination

    Chain fail2ban-SSH (1 references)
    target     prot opt source               destination
    RETURN     all  --  0.0.0.0/0            0.0.0.0/0

    Chain fail2ban-apache-badbots (1 references)
    target     prot opt source               destination
    RETURN     all  --  0.0.0.0/0            0.0.0.0/0

    Chain fail2ban-httpd (3 references)
    target     prot opt source               destination
    DROP       all  --  89.31.259.161        0.0.0.0/0
    DROP       all  --  89.31.259.161        0.0.0.0/0
    RETURN     all  --  0.0.0.0/0            0.0.0.0/0
    RETURN     all  --  0.0.0.0/0            0.0.0.0/0
    RETURN     all  --  0.0.0.0/0            0.0.0.0/0

Chain fail2ban-sasl (1 references)
target     prot opt source               destination
RETURN     all  --  0.0.0.0/0            0.0.0.0/0

Chain fail2ban-vsftpd (1 references)
target     prot opt source               destination
RETURN     all  --  0.0.0.0/0            0.0.0.0/0

J'ai pu courir: iptables -D fail2ban-httpd -s 89.31.259.161 -j DROPbien que cela n'ait supprimé qu'une des lignes.

iptables fail2ban John Magnolia
la source

Voir serverfault.com/questions/285256/…

psp

15

Utilisez l' --line-numbersoption pour iptables pour obtenir une liste qui montre les numéros de ligne pour les règles dans une chaîne, par exemple

iptables -L fail2ban-SSH -v -n --line-numbers
Chain fail2ban-SSH (1 references)
num   pkts bytes target     prot opt in     out   source              destination
1       19  2332 DROP       all  --  *      *     193.87.172.171      0.0.0.0/0
2       16  1704 DROP       all  --  *      *     222.58.151.68       0.0.0.0/0
3       15   980 DROP       all  --  *      *     218.108.224.81      0.0.0.0/0
4        6   360 DROP       all  --  *      *     91.196.170.231      0.0.0.0/0
5     8504  581K RETURN     all  --  *      *     0.0.0.0/0           0.0.0.0/0

Ensuite, utilisez iptables -D chain rulenumpour supprimer ceux que vous ne voulez pas, par exemple

iptables -D fail2ban-SSH 1

supprimerait le

1       19  2332 DROP       all  --  *      *     193.87.172.171      0.0.0.0/0

ligne de l'exemple ci-dessus. Notez que tout est renuméroté afin que vous puissiez réexécuter la même commande pour supprimer la nouvelle règle 1 dans la chaîne.

user9517
la source

Cela fonctionnera - JUSQU'À ce que vous redémarriez le serveur ou fail2ban. La réponse de @Ndianabasi est meilleure.

TheStoryCoder

5

D'après mon expérience avec Fail2ban, le retrait d'une adresse IP directement via IPTABLES entraînera une nouvelle interdiction de l'adresse IP par Fail2ban si le service Fail2ban est redémarré dans le délai d'interdiction.

Cela étant dit, le moyen le plus efficace et le plus propre de désinterdire une adresse IP interdite par Fail2ban est d'utiliser le client fail2ban.

Étape 1: notez le nom de la prison en consultant le journal Fail2ban

sudo zgrep 'Ban' /var/log/fail2ban.log

Exemple de sortie:

2017-11-03 04: 30: 14,509 fail2ban.actions [25091]: AVIS [nginx-badbots] Interdiction 47.15.15.49 2017-11-03 04: 37: 29,597 fail2ban.actions [27065]: AVIS [nginx-badbots] Interdiction 103.31.87.187 2017-11-03 04: 37: 30,124 fail2ban.actions [27065]: AVIS [nginx-badbots] Interdiction 201.33.170.251 2017-11-03 04: 37: 30,364 fail2ban.actions [27065]: AVIS [ nginx-badbots] Interdiction 47.15.15.49 2017-11-03 04: 38: 06,754 fail2ban.actions [27065]: AVIS [vsftpd] Interdiction 128.20.12.6.68

Si nous sommes intéressés à interdire l'adresse IP - 128.20.12.68 - alors le nom de la prison est vsftpd.

Étape 2: annulez l'adresse IP à l'aide de fail2ban-client. Le format général est le suivant:

sudo fail2ban-client set [JAIL] unbanip [xx.xx.xx.xx]

Maintenant, exécutez:

sudo fail2ban-client set vsftpd unbanip 128.20.12.68

Exemple de sortie:

128.20.12.68

Étape 3: confirmer le retrait du journal Fail2ban

sudo tail -f /var/log/fail2ban.log

Exemple de sortie:

2017-11-03 04: 38: 13,332 fail2ban.actions [27065]: AVIS [vsftpd] Unban 128.20.12.68

Ndianabasi
la source

1

Cela devrait être la réponse acceptée.

TheStoryCoder

Fail2Ban débloquer l'adresse IP

Réponses: