Điểm:0

Server

fail2ban không thể thêm iptables vào quy tắc

Adam Larsson

14:43, 29/05/2023

Tôi đang gặp sự cố với fail2ban không thêm IP bị cấm vào iptables.

đây là lỗi;

29-01-2022 15:13:48,499 fail2ban.actions [2608]: THÔNG BÁO [man] Khôi phục Lệnh cấm 212.192.246.26
29-01-2022 15:13:48,513 fail2ban.utils [2608]: ERROR 7f9281692660 -- exec: iptables -w -N f2b-man
iptables -w -A f2b-man -j TRẢ LẠI
iptables -w -I INPUT -p tcp -m multiport --dports all -j f2b-man
29-01-2022 15:13:48,514 fail2ban.utils [2608]: ERROR 7f9281692660 -- stderr: 'iptables: Chuỗi đã tồn tại.'
29/01/2022 15:13:48,514 fail2ban.utils [2608]: ERROR 7f9281692660 -- stderr: "iptables v1.8.4 (cũ): cổng/dịch vụ không hợp lệ `tất cả' được chỉ định"
29-01-2022 15:13:48,514 fail2ban.utils [2608]: ERROR 7f9281692660 -- stderr: "Hãy thử `iptables -h' hoặc 'iptables --help' để biết thêm thông tin."
29-01-2022 15:13:48,514 fail2ban.utils [2608]: ERROR 7f9281692660 -- trả về 2
29-01-2022 15:13:48,514 fail2ban.actions [2608]: LỖI Không thể thực thi lệnh cấm hành động 'man' 'man' 'iptables-multiport' info 'ActionInfo({'ip': '212.192.246.26', 'family' : 'inet4', 'fid': <function Actions.ActionInfo.<lambda> tại 0x7f9280d62e50>, 'raw-ticket': <function Actions.ActionInfo.<lambda> tại 0x7f9280d63550>})': Lỗi khi bắt đầu hành động Nhà tù(' man')/iptables-multiport: 'Lỗi tập lệnh'

vì vậy iptables không thích;

iptables -w -I INPUT -p tcp -m multiport --dports all -j f2b-man

--dport tất cả các rõ ràng là vấn đề, vì vậy câu hỏi của tôi là Tại sao? tại sao fail2ban đưa ra một lệnh bị lỗi và làm thế nào để sửa nó?

chỉnh sửa: chạy máy chủ Ubuntu 20.04.3 mà không cần netplan.

180

0 + 0

Ubuntu

iptables

uww

fail2ban

Chris

17:57, 29/05/2023

Đó là sự cố với cấu hình fail2ban của bạn, bạn cần cho chúng tôi xem. Có một nơi nào đó một giá trị `all` không chính xác cho `port` khi iptables mong đợi một cái gì đó giống như `0:65535`.

Hồi đáp

Adam Larsson

18:07, 29/05/2023

@Chris vâng, tôi nghi ngờ điều đó, nhưng bạn chỉ định điều đó trong cấu hình nào? có khoảng 30 tệp .conf khác nhau

Hồi đáp

Chris

18:16, 29/05/2023

Có vẻ như nó có liên quan đến nhà tù `man` nên đầu tiên phần này trong `jail.local` của bạn (hoặc `jail.conf` nếu được sửa đổi trực tiếp), Sau đó, tất cả các tùy chỉnh khác mà bạn đã thực hiện cho `action` và `action-multiports`

Hồi đáp

Adam Larsson

18:31, 29/05/2023

@Chris Tôi chưa thực hiện bất kỳ tùy chỉnh nào, ngoại trừ việc thêm bộ lọc cho ufwprobing.. Tôi thực sự đã kiểm tra người đàn ông và nó cho biết cổng = bất kỳ, tôi đã thay đổi nó thành 0:65535 và nó đã ngừng phàn nàn, nhưng nó đã tạo ra quy tắc này âf2b-man tcp -- bất cứ nơi nào có nhiều cổng dports 0:65535â trong chuỗi đầu vào của bảng (thả chính sách) .. nhưng không có ip.. Tôi nghĩ tốt hơn là xóa mọi thứ và tải xuống fail2ban mới nhất và tạo một cài đặt sạch

Hồi đáp

Adam Larsson

18:33, 29/05/2023

fail2ban có đang đọc cả jail.conf và jail.local hay chỉ jail.local nếu nó tồn tại?

Hồi đáp

Chris

18:41, 29/05/2023

fail2ban đọc Jail.conf trước, sau đó là Jail.local nếu tồn tại. Các thuộc tính bạn đặt trong phiên bản cục bộ sẽ ghi đè lên phiên bản đầu tiên, các thuộc tính khác không thay đổi. Liên quan đến iptables, quy tắc bạn hiển thị là bình thường. Đó là tham chiếu đến một chuỗi khác (f2b-man) mà *nên* chứa ip.

Hồi đáp

Adam Larsson

18:47, 29/05/2023

@Chris yeah, Sudo iptables -S đã tiết lộ ip.. không thấy nó khi tôi liệt kê các bảng.. Tôi đoán nó không hiển thị những cái đó.. nhưng tôi đã thấy nhiều nhà tù hơn có cổng = tất cả, tôi tốt hơn hãy thay đổi chúng thành 0:65536 để chúng không gặp vấn đề gì..

Hồi đáp

Điểm:0

Server

sebres

14:56, 31/05/2023

Hoạt động iptables-multiport không thực sự phù hợp để cấm tất cả các cổng, có những hành động cấm khác mà bạn có thể sử dụng để thay thế.

Đơn giản chỉ cần thiết lập lệnh cấm cho nhà tù hành động tất cả các cổng mà bạn chọn (ví dụ: iptables-allports), hoặc dùng biến nội suy "banaction_allports" đã có sẵn trong tù.conf (cũng được đặt hoặc ghi đè bởi nhà bảo trì phân phối của bạn), cũng có thể được đặt trong phần mặc định của bạn tù.local.

[Đàn ông]
# banaction = iptables-allports
banaction = %(banaction_allports)s

[khác-allports-nhà tù]
banaction = %(banaction_allports)s

0 + 0

Adam Larsson

18:36, 03/06/2023

vì vậy nếu tôi muốn tất cả các nhà tù cấm tất cả các cổng, tôi nên đặt `[banaction = %(banaction_allports)s` trong **[DEFAULT]**, và sau đó không chỉ định bất kỳ lệnh cấm nào trong mỗi nhà tù?

Hồi đáp

Phan Văn Trường

Câu hỏi này là trong các ngôn ngữ khác:

EN: fail2ban fails to add iptables to rules

TH: fail2ban ไม่สามารถเพิ่ม iptables ให้กับกฎได้

RO: fail2ban nu reușește să adauge iptables la reguli

RU: fail2ban не может добавить iptables в правила

VI: fail2ban không thể thêm iptables vào quy tắc

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.