Tham gia Đăng nhập
Điểm:0
FedKad avatar Ubuntu

Làm cách nào để định cấu hình fail2ban cho cả cổng TCP và UDP?

lá cờ cn
FedKad

Tôi muốn cấm một số yêu cầu DNS đến với tôi đặt tên người phục vụ. Máy chủ thường lắng nghe cả cổng TCP và UDP 53 và ghi nhật ký các yêu cầu vào /var/log/named/query.log tập tin. Vì vậy, tôi đã thêm mục sau vào cuối /etc/fail2ban/jail.local:

[tên-xyz]
đã bật = đúng
cổng = tên miền
bộ lọc = xyz
logpath = /var/log/named/query.log
bantime = 1d
hành động = %(action_)s

Tuy nhiên, điều này chỉ cấm cổng TCP (theo mặc định). Để cấm cổng UDP, tôi cần thêm một mục khác:

[tên-xyz-udp]
đã bật = đúng
cổng = tên miền
giao thức = udp
bộ lọc = xyz
logpath = /var/log/named/query.log
bantime = 1d
hành động = %(action_)s

Có các mục tương tự có thể không quá mức cần thiết, tuy nhiên nó có một nhược điểm là ghi lại các mục nhập kép cho một yêu cầu "xấu" duy nhất đến fail2ban.log tập tin như thế này:

fail2ban.filter [11619]: THÔNG TIN [tên-xyz-udp] Đã tìm thấy a.b.c.d
fail2ban.filter [11619]: THÔNG TIN [tên-xyz] Đã tìm thấy a.b.c.d

Làm cách nào tôi có thể đơn giản cấm cả UDP/53 và TCP/53 cùng một lúc với một quy tắc duy nhất Trong tù.local? Một giao thức = tất cả dòng không hoạt động trong trường hợp của tôi.

fail2ban phiên bản là v0.11.1.

415
1 + 0
Điểm:0
sebres avatar Ubuntu
lá cờ co
sebres

Một giao thức = tất cả dòng không hoạt động trong trường hợp của tôi.

Nó phụ thuộc vào hành động cấm bạn sử dụng. Bạn có ý nghĩa gì khi "không hoạt động"?

Đối với các hành động (như iptables-allports chấp nhận tất cả các) có thể đủ để thiết lập theo cách này, cho hành động khác (chấp nhận nhiều giao thức, như nftables), nó có thể được thiết lập với giao thức = tcp,udp (hoặc bất kỳ dấu phân cách nào họ cần thay vì dấu phẩy).
Đối với các hành động không chấp nhận nhiều giao thức (như iptables-multiport) người ta cần chỉ định 2 hành động, đây là một ví dụ hoạt động cho các phiên bản fail2ban mới nhất - https://github.com/fail2ban/fail2ban/blob/10cd81552538fa950cefc32787b9f82b5ee1b998/config/jail.conf#L748-L749

Đối với các phiên bản fail2ban cũ hơn không chấp nhận phép nội suy của %(default/action_)s hoặc nhiều tham số [...][...] bạn cần phải thiết lập một cái gì đó như thế này:

hành động = %(action_)s[name=%(__name__)s-tcp, giao thức="tcp"]
         %(action_)s[name=%(__name__)s-udp, giao thức="udp"]

(hoặc bằng fail2ban 0.9.x thậm chí thay thế %(action_)s với nó toàn bộ định nghĩa từ phần mặc định):

hành động = %(banaction)s[name=%(__name__)s-tcp, tên hành động=%(__name__)s-tcp, giao thức="tcp", cổng="%(cổng)s", chuỗi="%(chuỗi )S"]
         %(banaction)s[name=%(__name__)s-udp, tên hành động=%(__name__)s-udp, giao thức="udp", cổng="%(cổng)s", chuỗi="%(chuỗi)s "]
0 + 2
FedKad avatar
lá cờ cn
FedKad
Tôi xin lỗi, tôi không thể làm theo câu trả lời của bạn, vì tôi không phải là chuyên gia về fail2ban. Đề xuất của bạn để sửa đổi mục đầu tiên (trong Câu hỏi của tôi) là gì? Đặt một `hành động =` hai dòng như bạn đề xuất sẽ gây ra lỗi: `tùy chọn 'hành động' trong phần 'tên-xyz' đã tồn tại`
0
Hồi đáp
sebres avatar
lá cờ co
sebres
bạn phải đặt 2 hành động với một tham số duy nhất `hành động`, hãy xem ví dụ của tôi - có 2 dòng, nhưng dòng thứ hai không có `hành động =`, chỉ có vài khoảng trắng; và đảm bảo rằng bạn chưa chỉ định `hành động` trong phần dành cho nhà tù `named-xyz`.
0
Hồi đáp
lá cờ VietNam
Phan Văn Trường
Câu hỏi này là trong các ngôn ngữ khác:

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.