fail2ban postfix en CentOS 7 error

Imagen de al-serv

Enviado por al-serv en

Forums: 

Buenas tardes!

estoy migrando mi servidor de CentOS 6 a CentOS 7 y queria implementar el fail2ban porque he instalado postfix y me encuentro en los log's muchos intentos de validación falsos

He instalado fail2ban y he he habilitado el postfix para que filtrara esos ataques, en los log's del fail2ban obtengo estos errores;

[quote]firewall-cmd --direct --add-rule ipv4 filter INPUT 0 -p tcp -m multiport --dports smtp,465,submission,imap3,imaps,pop3,pop3s -m set --match-set fail2ban-postfix-sasl src -j REJECT --reject-with icmp-port-unreachable -- stdout: '\x1b[91mFirewallD is not running\x1b[00m\n'
2014-09-24 17:33:57,119 fail2ban.server.action[26438]: ERROR ipset create fail2ban-postfix-sasl hash:ip timeout 600
firewall-cmd --direct --add-rule ipv4 filter INPUT 0 -p tcp -m multiport --dports smtp,465,submission,imap3,imaps,pop3,pop3s -m set --match-set fail2ban-postfix-sasl src -j REJECT --reject-with icmp-port-unreachable -- stderr: ''
2014-09-24 17:33:57,119 fail2ban.server.action[26438]: ERROR ipset create fail2ban-postfix-sasl hash:ip timeout 600
firewall-cmd --direct --add-rule ipv4 filter INPUT 0 -p tcp -m multiport --dports smtp,465,submission,imap3,imaps,pop3,pop3s -m set --match-set fail2ban-postfix-sasl src -j REJECT --reject-with icmp-port-unreachable -- returned 252
2014-09-24 17:33:57,120 fail2ban.server.actions[26438]: ERROR Failed to start jail 'postfix-sasl' action 'firewallcmd-ipset': Error starting action[/quote]

No he modificado muchas cosas de como viene originalmente;

jail.conf

ignoreip = 127.0.0.1/8
findtime = 300
maxretry = 5

[postfix]
enabled = true
port = smtp,465,submission
logpath = %(postfix_log)s

no se ha tocad nada más....

Re:

Enviado por al-serv en

Imagen de al-serv

te refieres a desactivar el servicio de firewalld y utilizar iptables en un script marcando los inputs , etc... también lo phe probado... y sigue igual, creo que es un bug de esta versión del fail2ban

@deathuser Qué CHAINS muestra la salida de iptables -L en tu servidor ...??? <--- tengo un script de iptables y el iptables -L no lo tengo incluido... crees que es por eso?

La rabia es que en CentOS 6 funciona perfectisimamente con el mismo script de iptables que tengo en CentOS 7

Supongo que fail2ban no usa

Enviado por deathUser en

Imagen de deathUser

Supongo que fail2ban no usa ipset en CentOS 6, en todo caso, puedes crear en tu script el CHAIN INPUT_direct que es el que te está pidiendo el comando de bloqueo de fail2ban, al parecer, configuraron a fail2ban para interactuar fuertemente con firewalld y este usa la cadena INPUT_direct ...

iptables -L lo que hace es listarte las reglas de iptables para la tabla general, solo quería saber si tenías o no definida la cadena INPUT_direct ...

bye
;)

pues claro a eso me refieria

Enviado por falcom en

Imagen de falcom

pues claro a eso me refieria en tu script de iptables tener todas las reglas, y desactivar tu firewalld, yo lo tengo en mi CentOS Linux release 7.0.1406 (Core), funcionando perfectamente fail2ban-0.9-9.el7.noarch
claro con jails hechas para mis servicios!!

RE:

Enviado por al-serv en

Imagen de al-serv

a veru, acabo de poner en una maquina virtual, una instalación limpia y con firewalld activad, sin script de iptables y si que me funciona así que creo que el problema esta en mi script

lo pongo en rc.local, tiene algo que ver? tendría que poner a parte de lo que tengo ;

iptables -F
iptables -X
iptables -Z
........?????

Es problema de permisos, de algún regla que falte.. o fail2ban no trabaja si el script esta en rc.local? que tienes puesto falcom o deathuser que has modificado en el fail2ban para que te funcione con tu script personalizado de iptables?

P.D: gracias por vuestro soporte y paciencia

Re:

Enviado por al-serv en

Imagen de al-serv

aclarar que en la maquina virtual el Selinux esta a tope y funciona perfecto sin dar permisos funciona perfectamente! con el script que tengo en la maquina principal también me funciona en la maquina virtual ( rc.local ), lo que veo es este log en firewalld en la maquina virtual;

[quote]2014-09-26 20:59:16 ERROR: COMMAND_FAILED: '/sbin/iptables -t filter -I INPUT_direct 1 -p tcp -m multiport --dports ssh -m set --match-set fail2ban-sshd src -j REJECT --reject-with icmp-port-unreachable' failed: iptables: No chain/target/match by that name.[/quote]

Hombre .... al-serv ...

Enviado por deathUser en

Imagen de deathUser

Hombre .... al-serv ... cuántas veces te lo tengo que decir ...???

[quote=al-serv]COMMAND_FAILED: '/sbin/iptables -t filter -I INPUT_direct 1 -p tcp -m multiport --dports ssh -m set --match-set fail2ban-sshd src -j REJECT --reject-with icmp-port-unreachable' failed: iptables: No chain/target/match by that name.[/quote]

Te dice claramente que no encuentra la cadena (chain) INPUT_direct ...

Crea en tu script dicha cadena ... (INPUT_direct) y prueba a ver si funciona el bloqueo, (aunque creo que no porque no se que hace dicha cadena en firewalld), en todo caso a ver si falcom te puede pasar su configuración personalizada de fail2ban para actuar con un script personalizado de iptables ...

bye
;)

Re:

Enviado por al-serv en

Imagen de al-serv

Creo que voy a empezar de nuevo con esa maquina, yo lo he montado en una maquina virtual recreando el script tal cual y con firewalld activado también y en la maquina virtual 0 problemas, volveré a comenzar con esta maquina y probare de poner primero esto antes e poner todo lo demás que hay instalado ( servidor de correo, etc... ) como aún no la tengo en producción.... ya os cuento :)

Re:

Enviado por al-serv en

Imagen de al-serv

Tema terminado, me he dado una ultima oportunidad y he mirado los archivos que hay dentro de action.d y creo que ya esta solucionado, he editado todos los archhivos de iptables-* y he visto que en unos el chan = INPUT y en otros chan = INPUT_direct, los he puesto todos como INPUT y ahora ya no da error, creo que dejándolo así tiene que funcionar y esta bien hecho no?

Páginas