[Linux-Biella] domanda stupida su fail2ban

[vallini.daniele a bilug.it]

Wed, Feb 23, 2022 at 11:15:48AM +0100  Leonardo Buffa ha scritto: 

> 
> 
> On 22/02/22 14:24, Leonardo Buffa wrote:
> 
> per ricollegarmi all'argomento... se utilizzate questo programmino (che se
> configurato adeguatamente funziona molto bene, non fidatevi dei log che
> dicono che il determinato IP e' bannato perche' blablabla
> 
> verificate che effettivamente la regola venga applicata a livello di
> iptables... io mi sono accorto della cosa perche' da una macchina di test
> facevo volutamente login falliti, il log di fail2ban diceva che mi aveva
> bannato ma in realta' io potevo ancora collegarmi.. solo aggiustato
> adeguatamente il relativo file di conf all'interno di jail.d il tutto ha
> iniziato a funzionare correttamente, tentativi, ban time etc etc etc

Mi hai messo in dubbio ed ho verificato.

bantime, findtime e maxretry paiono regolarmente gestiti.

Trovo regolarmente il ban con iptables -L ma e' un reject e chiude solo la connessione:

REJECT     all  --  194.49.84.3          anywhere             reject-with icmp-port-unreachable

L'attaccante con il medesimo ip puo' riconnettersi e riprovare.

Come diavolo hai fatto a mantenere inaccessibile la porta a tale IP per tutta la durata del ban?

Forse sarebbe preferibile un drop di iptables cosi' la connessione rimane bloccata e se la deve chiudere l'attaccante.

Non ho pero' trovato mezzo per modificare la regola di iptables in drop.

In jail.conf ho modificato il mode in extra ma non ho risolto il problema.

Mi spieghi come hai fatto?

-- 
Daniele