Добрый день. Проблемы с настройкой fail2ban. Настроил iptables по статьеи для samba прописал немного iptables:
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p udp -m udp --dport 5060 -j ACCEPT
-A INPUT -p udp -m udp --dport 10000:20000 -j ACCEPT
-A INPUT -s 192.168.1.0/255.255.255.0 -p udp -m udp --dport 137 -j ACCEPT
-A INPUT -s 192.168.1.0/255.255.255.0 -p udp -m udp --dport 138 -j ACCEPT
-A INPUT -s 192.168.1.0/255.255.255.0 -p tcp -m state --state NEW -m tcp --dport 139 -j ACCEPT
-A INPUT -s 192.168.1.0/255.255.255.0 -p tcp -m state --state NEW -m tcp --dport 445 -j ACCEPT
Далее настроил fail2ban как в статье. Но при попытках неправильно зарегистрироваться и командой sipsak -U -s sip:s@192.168.0.1:5060 ничего не делает. бывает иногда создаст в iptables: Chain fail2ban-ASTERISK (1 references)
target prot opt source destination
RETURN all -- anywhere anywhere
Помогите пожалуйста разобраться. Я в этом деле совсем не понимаю.
После создания правил в fail2ban должен быть включен фаервол.
Далее нужно сделать либо service fail2ban restart или же fail2ban-client reload.
При релоаде правил fail2ban сделает что-то типа
iptable -N fail2ban-ASTERISK
iptables -I INPUT -p udp -m udp --dport 5060 -j fail2ban-ASTERISK
Чтобы проверить ваши фильтры и как их будет ловить fail2ban , то нужно выполнить , к примеру:
fail2ban-regex /var/log/asterisk/full /etc/fail2ban/filter.d/asterisk.conf
Так вы увидите , попадают ли ваши правила поl регулярные выражения или нет. Скорее всего в файле настроек у вас есть умолчания
ignoreip = 127.0.0.1 172.31.0.0/16 10.0.0.0/8 192.168.0.0/24
fail2ban это простая вобщемто вещь. он ищет в логах инфу которая написана в filter и делает action. соответвенно
1) проверяете что в логе по вашему филтру(наверно это /var/log/asterisk/full, хотя ПРАВИЛЬНО делать через iptables) есть информация о вашей "попытке взлома"
2) проверяете правило в фильтре,чтоб соответвовало выводу в логе
3) проверяете что fail2ban запущен
ps ax|grep fail2ban
4) провереяете что в логе /var/log/fail2ban.log есть попфтка взлома
5) проверяете что ваше action(в данном случае добавление в iptables скорее всего) возможно и сработало.
iptables -nnn -vvv -L
Задан: 2013-04-25 12:34:19 +0400
Просмотрен: 2,355 раз
Обновлен: Apr 25 '13
Проект компании "АТС Дизайн"
Asterisk® и Digium® являются зарегистрированными торговыми марками компании
Digium, Inc., США.
IP АТС Asterisk распространяется под лицензией
GNU GPL.
При выполнении команды fail2ban-client reload выдает:
О_о
kaban ( 2013-04-25 13:44:00 +0400 )редактироватьНе страшно. Using default value
zzuz ( 2013-04-25 13:59:15 +0400 )редактироватьдля верности /etc/init.d/fail2ban restart
zzuz ( 2013-04-25 13:59:52 +0400 )редактировать