Forums:
Buenas tardes!
estoy migrando mi servidor de CentOS 6 a CentOS 7 y queria implementar el fail2ban porque he instalado postfix y me encuentro en los log's muchos intentos de validación falsos
He instalado fail2ban y he he habilitado el postfix para que filtrara esos ataques, en los log's del fail2ban obtengo estos errores;
[quote]firewall-cmd --direct --add-rule ipv4 filter INPUT 0 -p tcp -m multiport --dports smtp,465,submission,imap3,imaps,pop3,pop3s -m set --match-set fail2ban-postfix-sasl src -j REJECT --reject-with icmp-port-unreachable -- stdout: '\x1b[91mFirewallD is not running\x1b[00m\n'
2014-09-24 17:33:57,119 fail2ban.server.action[26438]: ERROR ipset create fail2ban-postfix-sasl hash:ip timeout 600
firewall-cmd --direct --add-rule ipv4 filter INPUT 0 -p tcp -m multiport --dports smtp,465,submission,imap3,imaps,pop3,pop3s -m set --match-set fail2ban-postfix-sasl src -j REJECT --reject-with icmp-port-unreachable -- stderr: ''
2014-09-24 17:33:57,119 fail2ban.server.action[26438]: ERROR ipset create fail2ban-postfix-sasl hash:ip timeout 600
firewall-cmd --direct --add-rule ipv4 filter INPUT 0 -p tcp -m multiport --dports smtp,465,submission,imap3,imaps,pop3,pop3s -m set --match-set fail2ban-postfix-sasl src -j REJECT --reject-with icmp-port-unreachable -- returned 252
2014-09-24 17:33:57,120 fail2ban.server.actions[26438]: ERROR Failed to start jail 'postfix-sasl' action 'firewallcmd-ipset': Error starting action[/quote]
No he modificado muchas cosas de como viene originalmente;
jail.conf
ignoreip = 127.0.0.1/8
findtime = 300
maxretry = 5
[postfix]
enabled = true
port = smtp,465,submission
logpath = %(postfix_log)s
no se ha tocad nada más....
x q no desactivas tu
x q no desactivas tu firewallcmd y haces tu script de firewall usando iptables, yo lo tengo asi y me va de maravilla!!
Re:
te refieres a desactivar el servicio de firewalld y utilizar iptables en un script marcando los inputs , etc... también lo phe probado... y sigue igual, creo que es un bug de esta versión del fail2ban
@deathuser
Qué CHAINS muestra la salida de iptables -L en tu servidor
...??? <--- tengo un script de iptables y el iptables -L no lo tengo incluido... crees que es por eso?La rabia es que en CentOS 6 funciona perfectisimamente con el mismo script de iptables que tengo en CentOS 7
Supongo que fail2ban no usa
Supongo que fail2ban no usa ipset en CentOS 6, en todo caso, puedes crear en tu script el CHAIN INPUT_direct que es el que te está pidiendo el comando de bloqueo de fail2ban, al parecer, configuraron a fail2ban para interactuar fuertemente con firewalld y este usa la cadena INPUT_direct ...
iptables -L lo que hace es listarte las reglas de iptables para la tabla general, solo quería saber si tenías o no definida la cadena INPUT_direct ...
bye
;)
pues claro a eso me refieria
pues claro a eso me refieria en tu script de iptables tener todas las reglas, y desactivar tu firewalld, yo lo tengo en mi CentOS Linux release 7.0.1406 (Core), funcionando perfectamente fail2ban-0.9-9.el7.noarch
claro con jails hechas para mis servicios!!
RE:
a veru, acabo de poner en una maquina virtual, una instalación limpia y con firewalld activad, sin script de iptables y si que me funciona así que creo que el problema esta en mi script
lo pongo en rc.local, tiene algo que ver? tendría que poner a parte de lo que tengo ;
iptables -F
iptables -X
iptables -Z
........?????
Es problema de permisos, de algún regla que falte.. o fail2ban no trabaja si el script esta en rc.local? que tienes puesto falcom o deathuser que has modificado en el fail2ban para que te funcione con tu script personalizado de iptables?
P.D: gracias por vuestro soporte y paciencia
puedes publicar tu script de
puedes publicar tu script de iptables ...???
bye
;)
Re:
aclarar que en la maquina virtual el Selinux esta a tope y funciona perfecto sin dar permisos funciona perfectamente! con el script que tengo en la maquina principal también me funciona en la maquina virtual ( rc.local ), lo que veo es este log en firewalld en la maquina virtual;
[quote]2014-09-26 20:59:16 ERROR: COMMAND_FAILED: '/sbin/iptables -t filter -I INPUT_direct 1 -p tcp -m multiport --dports ssh -m set --match-set fail2ban-sshd src -j REJECT --reject-with icmp-port-unreachable' failed: iptables: No chain/target/match by that name.[/quote]
Hombre .... al-serv ...
Hombre .... al-serv ... cuántas veces te lo tengo que decir ...???
[quote=al-serv]COMMAND_FAILED: '/sbin/iptables -t filter -I INPUT_direct 1 -p tcp -m multiport --dports ssh -m set --match-set fail2ban-sshd src -j REJECT --reject-with icmp-port-unreachable' failed: iptables: No chain/target/match by that name.[/quote]
Te dice claramente que no encuentra la cadena (chain) INPUT_direct ...
Crea en tu script dicha cadena ... (INPUT_direct) y prueba a ver si funciona el bloqueo, (aunque creo que no porque no se que hace dicha cadena en firewalld), en todo caso a ver si falcom te puede pasar su configuración personalizada de fail2ban para actuar con un script personalizado de iptables ...
bye
;)
Re:
Creo que voy a empezar de nuevo con esa maquina, yo lo he montado en una maquina virtual recreando el script tal cual y con firewalld activado también y en la maquina virtual 0 problemas, volveré a comenzar con esta maquina y probare de poner primero esto antes e poner todo lo demás que hay instalado ( servidor de correo, etc... ) como aún no la tengo en producción.... ya os cuento :)
Re:
Tema terminado, me he dado una ultima oportunidad y he mirado los archivos que hay dentro de action.d y creo que ya esta solucionado, he editado todos los archhivos de iptables-* y he visto que en unos el chan = INPUT y en otros chan = INPUT_direct, los he puesto todos como INPUT y ahora ya no da error, creo que dejándolo así tiene que funcionar y esta bien hecho no?
Páginas