Просмотр полной версии : fail2ban - бан сразу подсети
Может кто-нить знает, как настроить бан сразу подсетки? А то смотрю, что участились случаи, когда одного банит, тут же со следующего адреса в подсетке "стучать" (по ssh) начинают.
Maximus71
30.01.2014, 19:35
Какую подсеть надо закрыть?
http://putty.org.ru/articles/fail2ban-ssh.html
Maximus71
Подсеть атакующего. Например /16 или /24
Не самый удачный пример, но ситуация понятна.
2014-01-28 19:11:57,929 fail2ban.actions: WARNING [ssh] Ban 61.160.247.40
2014-01-28 19:21:58,831 fail2ban.actions: WARNING [ssh] Unban 61.160.247.40
2014-01-28 20:26:40,316 fail2ban.actions: WARNING [ssh] Ban 64.251.25.101
2014-01-28 20:36:41,200 fail2ban.actions: WARNING [ssh] Unban 64.251.25.101
2014-01-28 23:10:21,847 fail2ban.actions: WARNING [ssh] Ban 61.160.215.44
2014-01-28 23:20:22,765 fail2ban.actions: WARNING [ssh] Unban 61.160.215.44
2014-01-28 23:37:16,980 fail2ban.actions: WARNING [ssh] Ban 115.230.126.70
2014-01-28 23:43:14,567 fail2ban.actions: WARNING [ssh] Ban 61.160.195.99
2014-01-28 23:47:17,921 fail2ban.actions: WARNING [ssh] Unban 115.230.126.70
2014-01-28 23:53:15,400 fail2ban.actions: WARNING [ssh] Unban 61.160.195.99
2014-01-29 00:15:51,966 fail2ban.actions: WARNING [ssh] Ban 115.230.126.78
2014-01-29 00:25:52,780 fail2ban.actions: WARNING [ssh] Unban 115.230.126.78
2014-01-29 02:16:19,461 fail2ban.actions: WARNING [ssh] Ban 61.160.215.117
2014-01-29 02:22:43,109 fail2ban.actions: WARNING [ssh] Ban 218.2.22.138
2014-01-29 02:26:20,394 fail2ban.actions: WARNING [ssh] Unban 61.160.215.117
2014-01-29 02:32:43,849 fail2ban.actions: WARNING [ssh] Unban 218.2.22.138
2014-01-29 02:49:21,059 fail2ban.actions: WARNING [ssh] Ban 61.160.222.84
2014-01-29 02:59:21,899 fail2ban.actions: WARNING [ssh] Unban 61.160.222.84
2014-01-29 05:27:42,228 fail2ban.actions: WARNING [ssh] Ban 61.174.51.212
2014-01-29 05:37:43,195 fail2ban.actions: WARNING [ssh] Unban 61.174.51.212
skoff, мануалы я читаю прежде чем спросить ))
Maximus71
30.01.2014, 20:48
Подсеть атакующего. Например /16 или /24Надо точно знать, какие именно диапазоны банить. Ну, например, надо забанить 61.160.247.х - пишем в /etc/fail2ban/jail.local в секцию [DEFAULT] строку ignoreip = 61.160.247.0/24. Если 61.160.х.х, то ignoreip = 61.160.0.0/16.
P.S. Все чисто из мануала. Реального опыта fail2ban нет. Я так понял, что вопрос именно в понимании записи маски подсети через дробь? Или что?
строку ignoreip = 61.160.247.0/24.
ignoreip - это не то. Это игнорирование. Т.е. после этой записи, данная подсеть наоборот, исключится из правил, и смогут брутфорсить безнаказанно.
Я так понял, что вопрос именно в понимании записи маски подсети через дробь? Или что?
Не, это понимание приходит почти сразу после пользования линуся ))
- - - Добавлено - - -
Я, покопавшись в исходниках, похоже, нашел, но это не труъ. И при обновлении потеряиццо, и действует на всех ((
Перевод: zCarot