Pagina 1 di 1

Fail2Ban e range IP in ip.blacklist

MessaggioInviato: mercoledì 12 settembre 2018, 9:06
da Sam9999
fail 2 Ban funziona e tutto regolare, solo che se metto un solo ip es: 117.95.110.44 in ip.blacklist, questo viene visto e settata la relativa voce in iptables, se voglio bannare un range IP e quindi scrivo 117.95.110.44/24 succede che fal2ban non aggiunge la voce in iptables e non mi banna il range IP.

Ho provato un po' a girare fra le configurazioni jail.local e sotto action.d ma non cercato anche in internet e mettere il /24 o /16 dopo l'IP per il range pare sia il modo, ma non funziona... :birra:

Re: Fail2Ban e range IP in ip.blacklist

MessaggioInviato: mercoledì 12 settembre 2018, 9:13
da pachisapiu
dovresti spiegarti meglio : fail2ban funziona o no ? (a me ha sempre funzionato) ,

inoltre non è chiaro dove scrivi il range da mettere in blacklist : direttamente su iptables tramite comando o altro ?

Re: Fail2Ban e range IP in ip.blacklist

MessaggioInviato: mercoledì 12 settembre 2018, 9:18
da DoctorStrange
Un IP scritto in questo modo: 117.95.110.44/24 non ha molto senso. Lo avrebbe se scritt: 117.0.0.0/24 . E comunque vorrebbe dire che tu vuoi impedire l'aaccesso a tutti gli Ip da 117.0.0.0 ad 117.255.255.255 .
Sei certo che sia questo il comportamento desiderato?

Re: Fail2Ban e range IP in ip.blacklist

MessaggioInviato: mercoledì 12 settembre 2018, 9:22
da pachisapiu
DoctorStrange Immagine ha scritto:Un IP scritto in questo modo: 117.95.110.44/24 non ha molto senso. Lo avrebbe se scritt: 117.0.0.0/24 . E comunque vorrebbe dire che tu vuoi impedire l'aaccesso a tutti gli Ip da 117.0.0.0 ad 117.255.255.255 .
Sei certo che sia questo il comportamento desiderato?

veramente per bloccare tutti gli ip da 117.0.0.0 a 117.255.255.255 la subnet giusta è 117.0.0.0/8 e non 24

Re: Fail2Ban e range IP in ip.blacklist

MessaggioInviato: mercoledì 12 settembre 2018, 9:27
da DoctorStrange
pachisapiu Immagine ha scritto:
DoctorStrange Immagine ha scritto:Un IP scritto in questo modo: 117.95.110.44/24 non ha molto senso. Lo avrebbe se scritt: 117.0.0.0/24 . E comunque vorrebbe dire che tu vuoi impedire l'aaccesso a tutti gli Ip da 117.0.0.0 ad 117.255.255.255 .
Sei certo che sia questo il comportamento desiderato?

veramente per bloccare tutti gli ip da 117.0.0.0 a 117.255.255.255 la subnet giusta è 117.0.0.0/8 e non 24


Ops ! hai ragione !! Chiedo scusa :D

Re: Fail2Ban e range IP in ip.blacklist

MessaggioInviato: mercoledì 12 settembre 2018, 19:12
da Sam9999
pachisapiu Immagine ha scritto:dovresti spiegarti meglio : fail2ban funziona o no ? (a me ha sempre funzionato) ,

inoltre non è chiaro dove scrivi il range da mettere in blacklist : direttamente su iptables tramite comando o altro ?


Fail2ban funziona e se metto gli ip in blacklist o riavvio o li prende dopo un po' e sono tutti li in iptables.

DoctorStrange Immagine ha scritto:Un IP scritto in questo modo: 117.95.110.44/24 non ha molto senso. Lo avrebbe se scritt: 117.0.0.0/24 . E comunque vorrebbe dire che tu vuoi impedire l'aaccesso a tutti gli Ip da 117.0.0.0 ad 117.255.255.255 .
Sei certo che sia questo il comportamento desiderato?


Io penso, non so se è giusto, che se metto il /8 o /16 finale non ha importanza, nel senso che sempre si intende con il /8 il range 117.0.0.0 ad 117.255.255.255 , sia se scrivo 117.95.110.44/8 e sia se scrivo 117.0.0.0/8 in quanto si intende sempre di andare a prendere tutto il range.

Si certo lo so che bananre un intero range è atipico, ma se identifico un range IP di cinesi che scassano le palle con spam o altro... allora magari metto un ban sul range /16 o /8

Inoltre se in iptables, scrivo una riga a mano e metto il ban a 117.95.110.44/8 quando poi lo carico con "iptables-restore < firewall" e successivamente lo risalvo, me lo interpreta come 117.0.0.0/8 e nel salvataggio in "iptables-save > firewall" se vado a vedere lo trovo poi scritto in quella maniera.

Magari provo a mettere il range con gli zeri e a vedere se mi prende il ban.

Re: Fail2Ban e range IP in ip.blacklist

MessaggioInviato: mercoledì 12 settembre 2018, 19:15
da pachisapiu
ma ancora non hai spiegato come "metti" gli ip in blacklist : tramite comando da terminale ? e come fai a dire che fail2ban non funziona ? provi te stesso ?

Re: Fail2Ban e range IP in ip.blacklist

MessaggioInviato: giovedì 13 settembre 2018, 6:45
da Sam9999
pachisapiu Immagine ha scritto:ma ancora non hai spiegato come "metti" gli ip in blacklist : tramite comando da terminale ? e come fai a dire che fail2ban non funziona ? provi te stesso ?



Mi pare di avere scritto che li inserisco nel file /etc/fail2ban/ip.blacklist e quindi o aspetto che fail2ban faccia il suo reload o lo faccio io.

Non li metto direttamente in iptables, perché preferisco averli a parte che magari li posso gestire meglio, infatti metto anche la data del ban in modo che qualche volta sbanno i piu' vecchi, se mi viene idea

Re: Fail2Ban e range IP in ip.blacklist

MessaggioInviato: giovedì 13 settembre 2018, 10:03
da Pike
Sai se fail2ban supporti i range?

Re: Fail2Ban e range IP in ip.blacklist

MessaggioInviato: giovedì 13 settembre 2018, 10:36
da Sam9999
Pike Immagine ha scritto:Sai se fail2ban supporti i range?


Teoricamente si, ho trovato dei riferimenti che inseriscono i range.
Iptables di certo puoi inserire il range.

Re: Fail2Ban e range IP in ip.blacklist

MessaggioInviato: giovedì 13 settembre 2018, 10:40
da Pike
Fail2ban è uno strato sopra a iptables, ed è su Fail2ban che vuoi operare.

Puoi inserire i link a questi riferimenti?

Re: Fail2Ban e range IP in ip.blacklist

MessaggioInviato: giovedì 13 settembre 2018, 11:17
da Sam9999
Pike Immagine ha scritto:Fail2ban è uno strato sopra a iptables, ed è su Fail2ban che vuoi operare.

Puoi inserire i link a questi riferimenti?


Ha ritrovarlo, stavo cercando appunto dei riferimenti per capire se si poteva e solo in una linea di esempio scriveva di inserire il range /24...

Re: Fail2Ban e range IP in ip.blacklist

MessaggioInviato: giovedì 13 settembre 2018, 11:58
da Pike
Non è un range ma una subnet. Un range (per esempio) è da 192.168.1.1 a 192.168.1.19.

Re: Fail2Ban e range IP in ip.blacklist

MessaggioInviato: giovedì 13 settembre 2018, 15:53
da Sam9999
Pike Immagine ha scritto:Non è un range ma una subnet. Un range (per esempio) è da 192.168.1.1 a 192.168.1.19.


Bene una subnet, perché non me la prende?
Io proprio ora una email ha un indirizzo ip in subnet /24 con altri e 4 ip gia inseriti, farei prima a bloccare tuttal al subnet 180.105.129.80/24

Re: Fail2Ban e range IP in ip.blacklist

MessaggioInviato: giovedì 13 settembre 2018, 15:54
da Pike
Non è quella la notazione della subnet, bensì 180.105.129.0/24

Re: Fail2Ban e range IP in ip.blacklist

MessaggioInviato: giovedì 13 settembre 2018, 19:43
da Sam9999
Pike Immagine ha scritto:Non è quella la notazione della subnet, bensì 180.105.129.0/24


Si ok, ho provato a mettere lo 0 ma non lo prende.
Avevo solo postato l'ultimo IP ancora in memoria, che ho bannato, e di cui ce ne sono almeno 5 sulla stessa subnet /24 già bannati.

Re: Fail2Ban e range IP in ip.blacklist

MessaggioInviato: mercoledì 17 ottobre 2018, 17:21
da Pike
https://www.fail2ban.org/wiki/index.php/Whitelist
Carino, qui la funzione c'è per mettere le subnet...

Re: Fail2Ban e range IP in ip.blacklist

MessaggioInviato: mercoledì 17 ottobre 2018, 17:32
da Sam9999
Pike Immagine ha scritto:https://www.fail2ban.org/wiki/index.php/Whitelist
Carino, qui la funzione c'è per mettere le subnet...


Quelle sono normali.. magari provo e poi li c'è la whitelist...