Perché banno un IP e questo continua ad accedere?

Installazione, configurazione e uso di Ubuntu come server: web, ftp, mail, news, proxy, dns, ecc.

Perché banno un IP e questo continua ad accedere?

Messaggioda Sam9999 » giovedì 12 luglio 2018, 21:13

Codice: Seleziona tutto
21:08:52   54.38.255.116   GET   /shop/   301   4KB                 VelenPublicWebCrawler (velen.io)      
21:08:41   54.38.255.116   GET   /shop/   200   66KB   https://                    VelenPublicWebCrawler (velen.io)      
21:08:40   54.38.255.116   GET   /shop/   4KB                                                 VelenPublicWebCrawler (velen.io)      
21:08:29   54.38.255.116   GET   /shop/ 200   63KB   https://                      VelenPublicWebCrawler (velen.io)


Lo metto in iptables.

Codice: Seleziona tutto
-A f2b-ip-blacklist -s 54.38.0.0/16 -j REJECT --reject-with icmp-port-unreachable
-A f2b-ip-blacklist -s 54.38.255.116/32 -j REJECT --reject-with icmp-port-unreachable


Ma continua ad accedere... :birra:

Adesso lo anche messo in alto in IPtables...

Codice: Seleziona tutto
-A INPUT -s 54.38.255.116/24 -j DROP


Ma accede.. ho anche riavviato apache2

Ora l'ho piazzato in .htaccess e trova dei bei 403

Codice: Seleziona tutto
order allow,deny
deny from 54.38.255.116/24
allow from all
Ultima modifica di Sam9999 il giovedì 12 luglio 2018, 21:35, modificato 1 volta in totale.
-------------
S. @-M.
-------------
Avatar utente
Sam9999
Scoppiettante Seguace
Scoppiettante Seguace
 
Messaggi: 381
Iscrizione: giugno 2014
Località: BO
Desktop: XORG
Distribuzione: Ubuntu 18.04 LTS Bionic Beaver

Re: Perché banno un IP e questo continua ad accedere?

Messaggioda thece » giovedì 12 luglio 2018, 21:24

Perchè magari la connessione viene accettata da qualche regola precedente di IPTables: occorre guardare le regole nel loro insieme.

Visto che usi fail2ban, se non ricordo male, c'è il modo di rendere i ban permanenti: http://lmgtfy.com/?q=fail2ban+ban+ip+permanently
Avatar utente
thece
Rampante Reduce
Rampante Reduce
 
Messaggi: 9156
Iscrizione: aprile 2007
Distribuzione: Debian 9 (Stretch) - KDE

Re: Perché banno un IP e questo continua ad accedere?

Messaggioda Sam9999 » giovedì 12 luglio 2018, 21:34

thece Immagine ha scritto:Perchè magari la connessione viene accettata da qualche regola precedente di IPTables: occorre guardare le regole nel loro insieme.

Visto che usi fail2ban, se non ricordo male, c'è il modo di rendere i ban permanenti: http://lmgtfy.com/?q=fail2ban+ban+ip+permanently


Ora dopo che ha trovato dei 403 fail2ban lo ha bannato lui e non coccia piu' sul server.

Si lo metto anche in /etc/fail2ban/ip.blacklist, ma mi pare che perché venga poi aggiunto in firewall devo riavviare fail2ban.

Allora lo metto in iptables e anche in ip.blacklist e fail2ban quando si riavvia lo mantiene bannato.

Questa la regoletta aggiunta da fail2ban...

Codice: Seleziona tutto
-A f2b-apache -s 54.38.255.116/32 -j REJECT --reject-with icmp-port-unreachable


Non è che quelli per l'accesso ad apache li devo settare in quella regola e non in ip-blacklist?
Non è la stessa cosa, nel senso sempre bloccato l'IP?
-------------
S. @-M.
-------------
Avatar utente
Sam9999
Scoppiettante Seguace
Scoppiettante Seguace
 
Messaggi: 381
Iscrizione: giugno 2014
Località: BO
Desktop: XORG
Distribuzione: Ubuntu 18.04 LTS Bionic Beaver

Re: Perché banno un IP e questo continua ad accedere?

Messaggioda Stealth » giovedì 12 luglio 2018, 22:37

Solo per scrupolo di pignoleria. Oltre a riavviare apache, dopo la modifica delle regole riavviavi anche il servizio del firewall?
ciao
Non nascondiamo le soluzioni tecniche nei messaggi personali, renderemmo inutile il forum. Non risponderò ai messaggi privati che chiedono assistenza. Per iniziare a orientarsi ci sono le Le FAQ del Forum.
Avatar utente
Stealth
Tenace Tecnocrate
Tenace Tecnocrate
 
Messaggi: 15297
Iscrizione: gennaio 2006
Desktop: Unity
Distribuzione: Ubuntu 18.04 LTS

Re: Perché banno un IP e questo continua ad accedere?

Messaggioda Sam9999 » giovedì 12 luglio 2018, 22:49

Stealth Immagine ha scritto:Solo per scrupolo di pignoleria. Oltre a riavviare apache, dopo la modifica delle regole riavviavi anche il servizio del firewall?
ciao


Non riavvio il firewall, provo a riavviare apache se per caso ha un threread ancora in corso e quindi lo si stoppa.
Devo riavviare anche iptables o quale ? A me non pare che ce ne sia stato bisogno in precedenza, appena inserito un ip è bloccato.

Dovrei riavviare anche ufw ?
Ufw

Acnhe se non credo che lo abbia mai usato... serve a mettere la regola in iptables... oltre ad abilitare il firewall. :birra:

Non sto usando altri servizi firewall...
Ultima modifica di Sam9999 il giovedì 12 luglio 2018, 22:58, modificato 1 volta in totale.
-------------
S. @-M.
-------------
Avatar utente
Sam9999
Scoppiettante Seguace
Scoppiettante Seguace
 
Messaggi: 381
Iscrizione: giugno 2014
Località: BO
Desktop: XORG
Distribuzione: Ubuntu 18.04 LTS Bionic Beaver

Re: Perché banno un IP e questo continua ad accedere?

Messaggioda Filoteo » giovedì 12 luglio 2018, 22:58

Solo per scrupolo di pignoleria. Oltre a riavviare apache, dopo la modifica delle regole riavviavi anche il servizio del firewall?
ciao

Non serve riavviare il firewall. Quando aggiungi una regola a iptables questa entra in azione immediatamente.

EDIT: corretto, il servizio in realtà c’è.
Ultima modifica di Filoteo il giovedì 12 luglio 2018, 23:05, modificato 1 volta in totale.
Filoteo
Prode Principiante
 
Messaggi: 175
Iscrizione: agosto 2015
Desktop: Gnome
Distribuzione: Manjaro Linux

Re: Perché banno un IP e questo continua ad accedere?

Messaggioda thece » giovedì 12 luglio 2018, 23:01

Nota: IPTables e UFW non sono altro che due diverse interfacce per Netfilter, il firewall integrato nel kernel di Linux. Non serve riavviare entrambi, basta riavviare quello che si usa: IPTables o UFW.
Avatar utente
thece
Rampante Reduce
Rampante Reduce
 
Messaggi: 9156
Iscrizione: aprile 2007
Distribuzione: Debian 9 (Stretch) - KDE

Re: Perché banno un IP e questo continua ad accedere?

Messaggioda Sam9999 » giovedì 12 luglio 2018, 23:09

Filoteo Immagine ha scritto:
Solo per scrupolo di pignoleria. Oltre a riavviare apache, dopo la modifica delle regole riavviavi anche il servizio del firewall?
ciao

Non serve riavviare il firewall. Quando aggiungi una regola a iptables questa entra in azione immediatamente.

EDIT: corretto, il servizio in realtà c’è.



Ecco quello che dicevo, ma ora ho visto che ufw non era abilitato ed ora è abilitato.. ha fatto un po' di casino in iptables... ma ora è a posto. :birra:

Quindi ho raddoppiato il firewall.. che spero no faccia casino di piu'..

mantenevo solo iptables.. che non mi piace ora.. :birra:
-------------
S. @-M.
-------------
Avatar utente
Sam9999
Scoppiettante Seguace
Scoppiettante Seguace
 
Messaggi: 381
Iscrizione: giugno 2014
Località: BO
Desktop: XORG
Distribuzione: Ubuntu 18.04 LTS Bionic Beaver

Re: Perché banno un IP e questo continua ad accedere?

Messaggioda Stealth » giovedì 12 luglio 2018, 23:23

Quindi ho raddoppiato il firewall.. che spero no faccia casino di piu'..


Forse non ho capito bene, ma se hai due configuratori di netfilter attivi beh, io eviterei. Scegline uno e spegni l'altro, e a questo punto vai anche a rivedere un po' tutto quello che hai toccato quando "non funzionava" il ban, ad es. fail2ban.
Insomma, appurato che bastava far recepire le regole e il firewall funziona, ripristinerei tutto ad uno stato precedente e sicuramente funzionante
ciao
Non nascondiamo le soluzioni tecniche nei messaggi personali, renderemmo inutile il forum. Non risponderò ai messaggi privati che chiedono assistenza. Per iniziare a orientarsi ci sono le Le FAQ del Forum.
Avatar utente
Stealth
Tenace Tecnocrate
Tenace Tecnocrate
 
Messaggi: 15297
Iscrizione: gennaio 2006
Desktop: Unity
Distribuzione: Ubuntu 18.04 LTS

Re: Perché banno un IP e questo continua ad accedere?

Messaggioda Sam9999 » giovedì 12 luglio 2018, 23:24

Stealth Immagine ha scritto:
Quindi ho raddoppiato il firewall.. che spero no faccia casino di piu'..


Forse non ho capito bene, ma se hai due configuratori di netfilter attivi beh, io eviterei. Scegline uno e spegni l'altro, e a questo punto vai anche a rivedere un po' tutto quello che hai toccato quando "non funzionava" il ban, ad es. fail2ban.
Insomma, appurato che bastava far recepire le regole e il firewall funziona, ripristinerei tutto ad uno stato precedente e sicuramente funzionante
ciao


Ci penso domattina.. mannaggia... fatto un casino, ma verificato funziona tutto.

Ecco che c'è un incasinamento, ora quando cancella da dentro la tabella iptables tutti i riferimenti a UFW dopo averlo disabilitato, mi da errore in restosre nella linea della ip-blacklist
Codice: Seleziona tutto
iptables-restore v1.6.1: Couldn't load target `f2b-ip-blacklist':No such file or directory


mentre se lascio i riferimenti non mi da errore:

Codice: Seleziona tutto
:ufw-before-forward - [0:0]
:ufw-before-input - [0:0]
:ufw-before-logging-forward - [0:0]
:ufw-before-logging-input - [0:0]
:ufw-before-logging-output - [0:0]
:ufw-before-output - [0:0]
:ufw-reject-forward - [0:0]
:ufw-reject-input - [0:0]
:ufw-reject-output - [0:0]
:ufw-track-forward - [0:0]
:ufw-track-input - [0:0]
:ufw-track-output - [0:0]
-A INPUT -p tcp -j f2b-ip-blacklist
-A INPUT -p tcp -m multiport --dports 22,939 -j f2b-sshd
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -m conntrack --ctstate INVALID -j DROP
-A INPUT -s 169.254.55.0/24 -j ACCEPT
-A INPUT -s 2.234.35.165/32 -j ACCEPT
-A INPUT -s 103.21.244.0/22 -p tcp -m multiport --dports 80,443,2086,2096 -j ACCEPT
-A INPUT -s 103.22.200.0/22 -p tcp -m multiport --dports 80,443,2086,2096 -j ACCEPT
-A INPUT -s 103.31.4.0/22 -p tcp -m multiport --dports 80,443,2086,2096 -j ACCEPT
-A INPUT -s 104.16.0.0/12 -p tcp -m multiport --dports 80,443,2086,2096 -j ACCEPT
-A INPUT -s 108.162.192.0/18 -p tcp -m multiport --dports 80,443,2086,2096 -j ACCEPT
-A INPUT -s 131.0.72.0/22 -p tcp -m multiport --dports 80,443,2086,2096 -j ACCEPT
-A INPUT -s 141.101.64.0/18 -p tcp -m multiport --dports 80,443,2086,2096 -j ACCEPT
-A INPUT -s 162.158.0.0/15 -p tcp -m multiport --dports 80,443,2086,2096 -j ACCEPT
-A INPUT -s 172.64.0.0/13 -p tcp -m multiport --dports 80,443,2086,2096 -j ACCEPT
-A INPUT -s 173.245.48.0/20 -p tcp -m multiport --dports 80,443,2086,2096 -j ACCEPT
-A INPUT -s 188.114.96.0/20 -p tcp -m multiport --dports 80,443,2086,2096 -j ACCEPT
-A INPUT -s 190.93.240.0/20 -p tcp -m multiport --dports 80,443,2086,2096 -j ACCEPT
-A INPUT -s 199.27.128.0/21 -p tcp -m multiport --dports 80,443,2086,2096 -j ACCEPT
-A INPUT -p tcp -m multiport --dports 80,443,2086,2096 -m conntrack --ctstate NEW,ESTABLISH$
-A INPUT -p tcp -m multiport --dports 21,22,25,110,143,465,587,939,993,995 -m conntrack --c$
-A INPUT -j ufw-before-logging-input
-A INPUT -j ufw-before-input
-A INPUT -j ufw-after-input
-A INPUT -j ufw-after-logging-input
-A INPUT -j ufw-reject-input
-A INPUT -j ufw-track-input
-A FORWARD -j ufw-before-logging-forward
-A FORWARD -j ufw-before-forward
-A FORWARD -j ufw-after-forward
-A FORWARD -j ufw-after-logging-forward
-A FORWARD -j ufw-reject-forward
-A FORWARD -j ufw-track-forward
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -m conntrack --ctstate ESTABLISHED -j ACCEPT
-A OUTPUT -p tcp -m multiport --dports 80,443,2086,2096 -m conntrack --ctstate ESTABLISHED $
-A OUTPUT -p tcp -m multiport --sports 21,22,25,110,143,465,587,939,993,995 -m conntrack --$
-A OUTPUT -j ufw-before-logging-output
-A OUTPUT -j ufw-before-output
-A OUTPUT -j ufw-after-output
-A OUTPUT -j ufw-after-logging-output
-A OUTPUT -j ufw-reject-output
-A OUTPUT -j ufw-track-output
-A f2b-ip-blacklist -j RETURN
-A f2b-sshd -j RETURN
-A f2b-vsftpd -j RETURN
COMMIT
# Completed on Fri Jul 13 07:16:19 2018


Trovato cancellavo dei riferimenti di troppo in alto.... cioè questi:

Codice: Seleziona tutto
:f2b-ip-blacklist - [0:0]
:f2b-sshd - [0:0]
:f2b-vsftpd - [0:0]
-------------
S. @-M.
-------------
Avatar utente
Sam9999
Scoppiettante Seguace
Scoppiettante Seguace
 
Messaggi: 381
Iscrizione: giugno 2014
Località: BO
Desktop: XORG
Distribuzione: Ubuntu 18.04 LTS Bionic Beaver


Torna a Ubuntu su server

Chi c’è in linea

Visualizzano questa sezione: 0 utenti registrati e 2 ospiti