• Willkommen im Linux Club - dem deutschsprachigen Supportforum für GNU/Linux. Registriere dich kostenlos, um alle Inhalte zu sehen und Fragen zu stellen.

[gelöst]fail2ban mit Fehlermeldung iptables

savenius

savenius

Member
Hallo zusammen,

habe ein Problem mit fail2ban bezüglich owncloud. Habe owncloud auf meinem Server laufen und möchte meine Sicherheit ein bisschen erhöhen. Fail2ban läuft und und findet auch Treffer im log von owncloud.
Das Problem ist, dass fail2ban nicht funktioniert wenn ich mich mehrmals falsch anmelde. Dafür habe ich im fail2ban.log diesen Eintrag:

Code: 
2014-10-04 13:19:01,992 fail2ban.actions[1674]: WARNING [owncloud] Ban xxx.xxx.xxx.xxx
2014-10-04 13:19:02,012 fail2ban.actions.action[1674]: ERROR   iptables -I fail2ban-owncloud 1 -s xxx.xxx.xxx.xxx -j REJECT - reject-with icmp-port unreachable returned 200
2014-10-04 13:49:02,315 fail2ban.actions[1674]: WARNING [owncloud] Unban xxx.xxx.xxx.xxx
2014-10-04 13:49:02,339 fail2ban.actions.action[1674]: ERROR   iptables -D fail2ban-owncloud -s xxx.xxx.xxx.xxx -j REJECT - reject-with icmp-port-unreachable returned 200

Dabei sieht meine jail.conf so aus:

Code: 
[owncloud]
enabled = true
filter = owncloud
action = iptables-multiport[blocktype="REJECT - reject-with icmp-port-unreachable", name="owncloud", port="443", protocol="tcp", chain="INPUT"]
logpath = /srv/www/htdocs/owncloud/data/owncloud.log
maxretry = 3
bantime = 1800

Habe viel Zeit damit verbracht etwas zu diesem Thema zu finden, was die Fehlermeldung angeht. Aber leider nichts gefunden. Mir geht so langsam das Latein aus ;) .

Vielleicht habe ich ja auch etwas übersehen. Hat mir jemand einen Tipp?
 
panamajo

panamajo

Guru
savenius schrieb:
Dabei sieht meine jail.conf so aus:
Zum Vergrößern anklicken....
Also ich habe hier openSUSE 13.1 mit fail2ban-0.8.14-2.9.1 (Update repo).
/etc/fail2ban/jail.conf sollte man gar nicht anfassen sondern /etc/fail2ban/jail.local damit die Regeln bei einem Update nicht überschrieben werden.

Die Konfiguration erschliesst sich eigentlich recht gut wenn man die Beisiele in der jail.conf ansieht, das hier ist ja nahe an dem was du willst:
Code: 
[apache-overflows]

enabled  = false
filter   = apache-overflows
action   = iptables-multiport[name=apache-overflows,port="80,443"]
logpath  = /var/log/apache*/*error.log
           /home/www/myhomepage/error.log
maxretry = 2

filter referenziert einen Filter in /etc/fail2ban/filter.d, action entsprechend eine Action in action.d (iptables-multiport macht das was du willst, also kannst du das verwenden).
 
OP
savenius

savenius

Member
/etc/fail2ban/jail.conf sollte man gar nicht anfassen sondern /etc/fail2ban/jail.local damit die Regeln bei einem Update nicht überschrieben werden.
Zum Vergrößern anklicken....
Danke für den Tipp :thumbs: .
Ist ne gute Idee jail.local zu verwenden anstelle jail.conf. Kann jail.local einfach kopiert werden oder muss ich zusätzlich irgendwo angeben, dass jail.local verwendet werden soll?
 
panamajo

panamajo

Guru
savenius schrieb:
Kann jail.local einfach kopiert werden oder muss ich zusätzlich irgendwo angeben, dass jail.local verwendet werden soll?
Zum Vergrößern anklicken....
Kopieren geht, ich würde nur die tatsächlich verwendeten Bans übernehmen (nicht vergessen: enabled = true ändern).
Die jail.local wird in o.g. Version zusätzlich zur jail.conf verwendet wenn vorhanden.
 
OP
savenius

savenius

Member
Danke nochmals.

Hab die jail.local nur bezüglich
Code: 
action   = iptables-multiport[name=apache-overflows,port="80,443"]
abgeändert und fail2ban blockiert jetzt.

Bei der action Konfiguration hab ich viel zu kompliziert gedacht. Aber jetzt geht es ja :D.
 
panamajo

panamajo

Guru
savenius schrieb:
Code: 
action   = iptables-multiport[name=apache-overflows,port="80,443"]
Zum Vergrößern anklicken....

Fein. Noch eine Anmerkung, eher kosmetischer Natur: name= solltest du anpassen (etwa "owncloud"). IIRC hat das keinerlei funktionale Auswirkung, aber es ändert das Label für iptables.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Oben