Efectivamente algo va mal.... realice update y ahora no esta agregando las IPs al documento "ip.blacklist" y tampoco esta colocando las reglas para bloquear. Justamente veo en */var/log/secure* los multiples intentos fallidos al puerto SSH de las IPs: 60.173.14.144 y 43.229.53.55.
Alguien que le haya pasado lo mismo ultimamente ? El 24 de diciembre de 2015, 13:03, angel jauregui <darkdiabl...@gmail.com> escribió: > Reviviendo un poco el tema, pero ahora por el lado de *IPTables con > Fail2Ban*. > > Resulta que hoy 23-Diciembre realice update a mi sistema centos y note los > siguientes mensajes de error en el los de messages despues de haber > reiniciado mi firewall y en seguida el fail2ban. > > *shell# tail -f /var/log/messages* > Dec 24 12:59:19 megatron fail2ban.action[8427]: ERROR iptables -I > fail2ban-SSH 1 -s 212.129.59.201 -j <blocktype>#012echo 212.129.59.201 >> > /etc/fail2ban/ip.blacklist -- returned 1 > > Aun necesito probar si el fail2ban esta haciendo su cometido (meter las > reglas al iptables), pero de momento alguien tiene detalles de ese error ? > > Saludos ! > > > El 2 de noviembre de 2015, 11:33, angel jauregui <darkdiabl...@gmail.com> > escribió: > >> Fijese David que lo tengo bien configurada esa parte que usted menciona, >> y aun asi no se ponene las reglas IPTables ! >> >> El 2 de noviembre de 2015, 5:20, David González Romero < >> dgrved...@gmail.com> escribió: >> >>> Angel: >>> >>> Es este mismo hilo te respondí porque no sale... revisa el tercer >>> mensaje del hijo y verás... >>> >>> Saludos, >>> David >>> >>> El día 31 de octubre de 2015, 13:12, angel jauregui >>> <darkdiabl...@gmail.com> escribió: >>> > Recientemente instale ayer un nuevo server, le monte fail2ban y >>> resulta que >>> > levanta todo bien pero a la hora de hacer intentos fallidos de >>> conexion ssh >>> > NO me agrega esa IP al DROP/REJECT del IPTABLES ???, lo unico que veo >>> es >>> > que *imprime en /var/log/messages* que va a bannear esa IP, pero en el >>> > IPTABLES no veo nada :(, ni tampoco veo que se volque dicha IP a mi >>> *archivo >>> > ip.blacklist*. >>> > >>> > shell# tail -f /var/log/messages >>> > Oct 31 10:09:49 linux fail2ban.filter[55486]: INFO [ssh-iptables] Found >>> > 11.22.33.44 >>> > Oct 31 10:09:50 linux fail2ban.actions[55486]: NOTICE [ssh-iptables] >>> > 11.22.33.44 already banned >>> > >>> > shell# iptables -L -n >>> > Chain fail2ban-SSH (4 references) >>> > target prot opt source destination >>> > RETURN all -- 0.0.0.0/0 0.0.0.0/0 >>> > RETURN all -- 0.0.0.0/0 0.0.0.0/0 >>> > RETURN all -- 0.0.0.0/0 0.0.0.0/0 >>> > RETURN all -- 0.0.0.0/0 0.0.0.0/0 >>> > >>> > shell# cat /etc/fail2ban/ip.blacklist >>> > shell# >>> > >>> > Que sera ? >>> > >>> > Saludos ! >>> > >>> > >>> > >>> > >>> > El 22 de octubre de 2015, 16:26, angel jauregui < >>> darkdiabl...@gmail.com> >>> > escribió: >>> > >>> >> Gracias por su respuesta David, verificare lo que comentas porque >>> >> actualmente si le muevo a la parte de "sendmail" dentro de jail.conf, >>> >> simplemene sale error al reiniciar el servicio, como que la sintaxis >>> >> necesita otro parametro :S, y tengo que regresarlo a como lo tenia >>> con las >>> >> notificaciones al mail. >>> >> >>> >> Saludos ! >>> >> >>> >> El 22 de octubre de 2015, 14:08, David González Romero < >>> >> dgrved...@gmail.com> escribió: >>> >> >>> >>> Yo mismo me respondo: >>> >>> >>> >>> Al actualizar a la ultima versión y leer el Changelog vi esto: >>> >>> * action.d/iptables-common.conf - All calls to iptables command now >>> >>> use -w switch introduced in iptables 1.4.20 (some distribution could >>> >>> have patched their earlier base version as well) to provide this >>> >>> locking mechanism useful under heavy load to avoid contesting on >>> >>> iptables calls. If you need to disable, define >>> >>> 'action.d/iptables-common.local' with empty value for 'lockingopt' in >>> >>> `[Init]` section. >>> >>> >>> >>> Lo que hice fue: >>> >>> - cp /etc/fail2ban/action.d/iptables-common.conf >>> >>> /etc/fail2ban/action.d/iptables-common.local >>> >>> - vim /etc/fail2ban/action.d/iptables-common.local >>> >>> Y el parametro que esta asi >>> >>> lockingopt = -w >>> >>> Lo puse así: >>> >>> lockingopt = >>> >>> - Despues: service fail2ban reload >>> >>> >>> >>> Angel chequea no sea que tu Fail2ban precisa de modificaciones en la >>> >>> configuración debido a estos upgrades. >>> >>> >>> >>> Saludos, >>> >>> David >>> >>> >>> >>> El día 22 de octubre de 2015, 15:31, David González Romero >>> >>> <dgrved...@gmail.com> escribió: >>> >>> > A mi desde que se upgradeo la ultima vez que no me muestra las >>> reglas >>> >>> > del Iptables. Estaba pensando en hacer un post a la lista, y ahora >>> con >>> >>> > tu mail ya me anime a soltar la duda si alguien se ha enfrentado a >>> >>> > problemas con Fail2ban >>> >>> > >>> >>> > Saludos, >>> >>> > David >>> >>> > >>> >>> > El día 22 de octubre de 2015, 14:22, angel jauregui >>> >>> > <darkdiabl...@gmail.com> escribió: >>> >>> >> Buen dia. >>> >>> >> >>> >>> >> Estoy recibiendo mas de 100 correos diarios se intentos de >>> conexion a >>> >>> mi >>> >>> >> puerto SSH, al principio eran pocos y pasaba :D... pero ahora han >>> >>> >> incrementado y me estan fastidiando. >>> >>> >> >>> >>> >> Intente editar mi configuracion omitiendo el correo, pero falla el >>> >>> reinicio. >>> >>> >> >>> >>> >> Les indico mi actual config. de fail2ban para el ssh: >>> >>> >> >>> >>> >> *shell# cat /etc/fail2ban/jail.conf* >>> >>> >> [ssh-iptables] >>> >>> >> >>> >>> >> enabled = true >>> >>> >> filter = sshd >>> >>> >> action = iptables-multiport[name=SSH, port=ssh, protocol=tcp] >>> >>> >> sendmail-whois[name=SSH, dest=micor...@gmail.com, >>> sender= >>> >>> >> fail2...@midominio.com, sendername="Fail2Ban $ >>> >>> >> logpath = /var/log/secure >>> >>> >> maxretry = 3 >>> >>> >> >>> >>> >> Saludos ! >>> >>> >> >>> >>> >> -- >>> >>> >> M.S.I. Angel Haniel Cantu Jauregui. >>> >>> >> >>> >>> >> Celular: (011-52-1)-899-871-17-22 >>> >>> >> E-Mail: angel.ca...@sie-group.net >>> >>> >> Web: http://www.sie-group.net/ >>> >>> >> Cd. Reynosa Tamaulipas. >>> >>> >> _______________________________________________ >>> >>> >> CentOS-es mailing list >>> >>> >> CentOS-es@centos.org >>> >>> >> https://lists.centos.org/mailman/listinfo/centos-es >>> >>> _______________________________________________ >>> >>> CentOS-es mailing list >>> >>> CentOS-es@centos.org >>> >>> https://lists.centos.org/mailman/listinfo/centos-es >>> >>> >>> >> >>> >> >>> >> >>> >> -- >>> >> M.S.I. Angel Haniel Cantu Jauregui. >>> >> >>> >> Celular: (011-52-1)-899-871-17-22 >>> >> E-Mail: angel.ca...@sie-group.net >>> >> Web: http://www.sie-group.net/ >>> >> Cd. Reynosa Tamaulipas. >>> >> >>> > >>> > >>> > >>> > -- >>> > M.S.I. Angel Haniel Cantu Jauregui. >>> > >>> > Celular: (011-52-1)-899-871-17-22 >>> > E-Mail: angel.ca...@sie-group.net >>> > Web: http://www.sie-group.net/ >>> > Cd. Reynosa Tamaulipas. >>> > _______________________________________________ >>> > CentOS-es mailing list >>> > CentOS-es@centos.org >>> > https://lists.centos.org/mailman/listinfo/centos-es >>> _______________________________________________ >>> CentOS-es mailing list >>> CentOS-es@centos.org >>> https://lists.centos.org/mailman/listinfo/centos-es >>> >> >> >> >> -- >> M.S.I. Angel Haniel Cantu Jauregui. >> >> Celular: (011-52-1)-899-871-17-22 >> E-Mail: angel.ca...@sie-group.net >> Web: http://www.sie-group.net/ >> Cd. Reynosa Tamaulipas. >> > > > > -- > M.S.I. Angel Haniel Cantu Jauregui. > > Celular: (011-52-1)-899-871-17-22 > E-Mail: angel.ca...@sie-group.net > Web: http://www.sie-group.net/ > Cd. Reynosa Tamaulipas. > -- M.S.I. Angel Haniel Cantu Jauregui. Celular: (011-52-1)-899-871-17-22 E-Mail: angel.ca...@sie-group.net Web: http://www.sie-group.net/ Cd. Reynosa Tamaulipas. _______________________________________________ CentOS-es mailing list CentOS-es@centos.org https://lists.centos.org/mailman/listinfo/centos-es