ISPconfig Problem bei fail2ban

herosalex

Member
Hallo zusammen,
ich habe bei meinem Server ein Problem mit fail2ban. Aus irgendwelchen Gründen werden nicht alle IPs gesperrt.

Fail2ban blockiert zum Teil ein paar IPs, aber andere werden nicht gesperrt.

Logfile von fail2ban:
2015-04-27 15:08:19,220 fail2ban.actions: WARNING [sasl] Ban IP2
................
2015-04-27 16:54:01,689 fail2ban.actions: WARNING [courierimap] Ban IP3
2015-04-27 17:29:46,011 fail2ban.actions: WARNING [courierimap] Ban IP4
2015-04-27 17:31:23,263 fail2ban.actions: WARNING [courierimap] Ban IP5
2015-04-27 18:09:15,182 fail2ban.actions: WARNING [courierpop3] Ban IP6
2015-04-27 19:13:12,135 fail2ban.actions: WARNING [courierimap] Ban IP7

Auszug aus der Mail-Logfile:
Apr 27 14:46:57 web postfix/smtpd[4984]: warning: domain1 [ ip1 ]: SASL LOGIN authentication failed: authentication failure
Apr 27 14:55:19 web postfix/smtpd[5344]: warning: domain1 [ ip1 ]: SASL LOGIN authentication failed: authentication failure
Apr 27 15:03:30 web postfix/smtpd[5600]: warning: domain1 [ ip1 ]: SASL LOGIN authentication failed: authentication failure
Apr 27 15:08:17 web postfix/smtpd[5721]: warning: hostname domain2.ru does not resolve to address IP2: Name or service not known
Apr 27 15:08:17 web postfix/smtpd[5721]: warning: unknown[ IP2 ]: SASL LOGIN authentication failed: authentication failure
Apr 27 15:08:17 web postfix/smtpd[5721]: warning: unknown[ IP2 ]: SASL LOGIN authentication failed: authentication failure
Apr 27 15:08:18 web postfix/smtpd[5721]: warning: unknown[ IP2 ]: SASL LOGIN authentication failed: authentication failure
Apr 27 15:11:57 web postfix/smtpd[5842]: warning: domain1 [ ip1 ]: SASL LOGIN authentication failed: authentication failure
Apr 27 15:20:18 web postfix/smtpd[6095]: warning: domain1 [ ip1 ]: SASL LOGIN authentication failed: authentication failure
Apr 27 15:28:41 web postfix/smtpd[6299]: warning: domain1 [ ip1 ]: SASL LOGIN authentication failed: authentication failure

Meiner Meinung nach müsste fail2ban mit den selben Einstellungen die IP1 auch sperren, leider wird nur die IP2 gesperrt.
Gibt es dort Unterschiede?
Wo ist mein Fehler?
 

nowayback

Well-Known Member
*glaskugelmode on*
dein fehler ist die zeit. du hast als bantime 300 sekunden (5 minuten eingestellt) IP1 wurde 15:03:30 gebannt und demzufolge 15:08:30 wieder entbannt. deshalb konnte ip1 15:11:57 wieder einen login versuchen.
(angaben ohne gewähr da der entsprechende auszug aus der fail2ban.log fehlt)
*glaskugelmode off*
 

herosalex

Member
Leider ist das nicht so. Die Ban-Zeit war auf größer 10 Minuten eingestellt.
Auszugaus der Datei /etc/fail2ban/jail.local:
bantime = 36000
maxretry = 3
Aus mir nicht verständlichen Gründen greift fail2ban bei einer IP und bei einer anderen Funktioniert es nicht. Klar ist auch, dass es unterschiedliche Ports gibt, die von fail2ban unterschiedlich behandelt werden.
Für mich ist bei der ip1 und IP2 der Port und der Dienst auf meinem Server identisch. Es müsste meiner Meinung nach die selbe Regel greifen. Der ein zigste Unterschied ist, dass bei der ip1 keine Domain steht und bei der IP2 wird eine längere Subdomain angezeigt.

Da ich diese Schwierigkeiten minimieren wollte, habe ich eine IP-Blacklist erstellt. Anleitung
Leider funktioniert diese Technik bei mir nicht. Es gibt zu dieser Thematik ein paar Anleitungen, die alle den selben Inhalt haben. Nur die Kombination aus IP und Zeit sind unterschiedlich.
Leider wird bei mir keine IP der Blacklist gesperrt. Egal welche Kombination ich aus Zeit und IP nutze.

Hat jemand eine Idee?
 

florian030

Well-Known Member
Du könntest ja mal Deine Regex posten oder einfach mal nachsehen, ob die IP nicht doch in der Firewall steht, Du aber irgendwo eine ACCEPT an der falschen Stelle hast.
 

herosalex

Member
Falls du die Ausgabe vom Komando "fail2ban-regex" meintest, hab ich sie mit Postfix und meiner Blacklist ausgeführt.

Ausgabe von Postif:
XXXX@XXXX:/etc/fail2ban/filter.d# fail2ban-regex /var/log/mail.log /etc/fail2ban/filter.d/postfix.conf
Running tests =============
Use regex file : /etc/fail2ban/filter.d/postfix.conf
Use log file : /var/log/mail.log
Results =======
Failregex
|- Regular expressions:
| [1] ^\s*(?:\S+ )?(?:kernel: \[\d+\.\d+\] )?(?:mad:vserver_\S+ )?(?:(?:\[\d+\])?:\s+[\[\(]?postfix/smtpd(?:\(\S+\))?[\]\)]?:?|[\[\(]?postfix/smtpd(?:\(\S+\))?[\]\)]?:?(?:\[\d+\])?:)?\s*NOQUEUE: reject: RCPT from \S+\[<HOST>\]: 554 5\.7\.1 .*$
|`- Number of matches:
[1] 0 match(es)
Ignoreregex
|- Regular expressions:
|`- Number of matches:
Summary =======
Sorry, no match
Look at the above section 'Running tests' which could contain important
information.


Zum Vergleich die Ausgabe meiner IP-Blacklist:
XXXX@XXXX:/etc/fail2ban/filter.d# fail2ban-regex /etc/fail2ban/ip-blacklist /etc/fail2ban/filter.d/ip-blacklist.conf
Running tests =============
Use regex file : /etc/fail2ban/filter.d/ip-blacklist.conf
Use log file : /etc/fail2ban/ip-blacklist
Results =======
Failregex
|- Regular expressions:
| [1] ^<HOST> \[.*\]$
|`- Number of matches:
[1] 0 match(es)
Ignoreregex
|- Regular expressions:
|`- Number of matches:
Summary =======
Sorry, no match
Look at the above section 'Running tests' which could contain important
information.

Leider werden bei beiden keine Infos zu Fehlern gegeben.
 

Werbung

Top