Fail2Ban Errors - Normal oder Fehler in den HowTo's?

[crazyiven]

Ich habe im Fail2Ban Log folgende Einträge:

Probleme mit REG EXP

fail2ban.filter : ERROR  Unable to compile regular expression '(?: pop3-login|imap-login): .*(?:Authentication failure|Aborted login (auth failed|Aborted login (tried to use disabled|Disconnected (auth failed|Aborted login (d+ authentication attempts).*rip=(?P<host>S*),.*'

Probleme mit IPTables

fail2ban.actions.action: ERROR  iptables -N fail2ban-ssh
iptables -A fail2ban-ssh -j RETURN
iptables -I INPUT -p tcp -m multiport --dports ssh -j fail2ban-ssh returned 200
fail2ban.actions: WARNING [ssh] Ban 18.85.28.253
fail2ban.actions.action: ERROR  iptables -n -L INPUT | grep -q fail2ban-ssh returned 100
fail2ban.actions.action: ERROR  Invariant check failed. Trying to restore a sane environment
fail2ban.actions.action: ERROR  iptables -D INPUT -p tcp -m multiport --dports ssh -j fail2ban-ssh
iptables -F fail2ban-ssh
iptables -X fail2ban-ssh returned 100

Fehler #1 betrifft wohl die Datei dovecot-pop3imap in /etc/fail2ban/filter.d die bei mir 1:1 wie im HowTo aussieht:

[Definition]
failregex = (?: pop3-login|imap-login): .*(?:Authentication failure|Aborted login (auth failed|Aborted login (tried to use disabled|Disconnected (auth failed|Aborted login (d+ authentication attempts).*rip=(?P<host>S*),.*
ignoreregex =

Was stimmt denn da nun nicht? Wird das System dadurch beeinflusst bzw. gibt es Fehler bzw. "falsche Fehlermeldungen"?

Gruß
crazyiven

 

[ufreier]

Ausgrabung

ich bin zwar kein Freund der Ausgrabung alter Threads, aber die Fehlermeldungen passen einfach zu gut. Ich hatte einst versucht den fail2ban zu konfigurieren, das hat auch nur Fehler geworfen. Dann kam ein ISPConfig-Update und er war wieder "out of the box"
Ich habe mich zugegebenermaßen noch nicht intensiv mit dem Teil beschäftigt, bin es aber von solchen Diensten eigentlich gewohnt, dass sie vielleicht noch nicht das machen was sie genau sollen, aber was sie machen, machen sie zumindest richtig (der Apache sagt ja auch grds. "it works!") und dann kann man sich ein paar Sachen schon mal von der life-config abschauen ...
Aber ich bekomme von meinem fail2ban seit heute genau die Meldungen, die crazyiven hier in "Probleme mit IPTables" beschreibt, nachdem sich meiner offenbar abkrampft, eine IP zu bannen, die dem Dovecot unangenehm aufgefallen war.

2012-01-18 11:47:42,286 fail2ban.actions: WARNING [dovecot-pop3imap] Ban XXX.YYY.107.110
2012-01-18 11:47:42,293 fail2ban.actions.action: ERROR  iptables -n -L INPUT | grep -q fail2ban-dovecot-pop3imap returned 100
2012-01-18 11:47:42,293 fail2ban.actions.action: ERROR  Invariant check failed. Trying to restore a sane environment
2012-01-18 11:47:42,315 fail2ban.actions.action: ERROR  iptables -N fail2ban-dovecot-pop3imap
iptables -A fail2ban-dovecot-pop3imap -j RETURN
iptables -I INPUT -p tcp -m multiport --dports pop3,pop3s,imap,imaps -j fail2ban-dovecot-pop3imap returned 100
2012-01-18 11:47:42,319 fail2ban.actions.action: ERROR  iptables -n -L INPUT | grep -q fail2ban-dovecot-pop3imap returned 100
2012-01-18 11:47:42,319 fail2ban.actions.action: CRITICAL Unable to restore environment

So geht das dann den ganzen Tag über immer wieder mal, ein "iptables -L" zeigt aber nur leere chains, da wird gar nichts geblockt. Die Idee hinter dem fail2ban finde ich grds. echt klasse, aber funktioniert er bei euch so richtig? Könnt Ihr ein Tutorial empfehlen?

Gruß, Uwe

 

[nowayback]

Ist nen bekannter Bug von fail2ban und in der aktuellen Version behoben. Leider ist diese Version nicht in den Debian Repos. Entweder Backports durchgucken oder manuell installieren oder damit leben und jedes mal selbst die Filterregeln hinzufügen