Perché banno un IP e questo continua ad accedere?

Installazione, configurazione e uso di Ubuntu come server: web, ftp, mail, news, proxy, dns, ecc.

Perché banno un IP e questo continua ad accedere?

Messaggioda Sam9999 » giovedì 12 luglio 2018, 21:13

Codice: Seleziona tutto
21:08:52   54.38.255.116   GET   /shop/   301   4KB                 VelenPublicWebCrawler (velen.io)      
21:08:41   54.38.255.116   GET   /shop/   200   66KB   https://                    VelenPublicWebCrawler (velen.io)      
21:08:40   54.38.255.116   GET   /shop/   4KB                                                 VelenPublicWebCrawler (velen.io)      
21:08:29   54.38.255.116   GET   /shop/ 200   63KB   https://                      VelenPublicWebCrawler (velen.io)


Lo metto in iptables.

Codice: Seleziona tutto
-A f2b-ip-blacklist -s 54.38.0.0/16 -j REJECT --reject-with icmp-port-unreachable
-A f2b-ip-blacklist -s 54.38.255.116/32 -j REJECT --reject-with icmp-port-unreachable


Ma continua ad accedere... :birra:

Adesso lo anche messo in alto in IPtables...

Codice: Seleziona tutto
-A INPUT -s 54.38.255.116/24 -j DROP


Ma accede.. ho anche riavviato apache2

Ora l'ho piazzato in .htaccess e trova dei bei 403

Codice: Seleziona tutto
order allow,deny
deny from 54.38.255.116/24
allow from all
Ultima modifica di Sam9999 il giovedì 12 luglio 2018, 21:35, modificato 1 volta in totale.
-------------
S. @-M.
-------------
Avatar utente
Sam9999
Scoppiettante Seguace
Scoppiettante Seguace
 
Messaggi: 713
Iscrizione: giugno 2014
Località: BO
Desktop: Studio Xfce
Distribuzione: Ubuntu 18.04 LTS Bionic Beaver

Re: Perché banno un IP e questo continua ad accedere?

Messaggioda thece » giovedì 12 luglio 2018, 21:24

Perchè magari la connessione viene accettata da qualche regola precedente di IPTables: occorre guardare le regole nel loro insieme.

Visto che usi fail2ban, se non ricordo male, c'è il modo di rendere i ban permanenti: http://lmgtfy.com/?q=fail2ban+ban+ip+permanently
Avatar utente
thece
Rampante Reduce
Rampante Reduce
 
Messaggi: 9654
Iscrizione: aprile 2007
Distribuzione: Debian 9 (Stretch) - KDE

Re: Perché banno un IP e questo continua ad accedere?

Messaggioda Sam9999 » giovedì 12 luglio 2018, 21:34

thece Immagine ha scritto:Perchè magari la connessione viene accettata da qualche regola precedente di IPTables: occorre guardare le regole nel loro insieme.

Visto che usi fail2ban, se non ricordo male, c'è il modo di rendere i ban permanenti: http://lmgtfy.com/?q=fail2ban+ban+ip+permanently


Ora dopo che ha trovato dei 403 fail2ban lo ha bannato lui e non coccia piu' sul server.

Si lo metto anche in /etc/fail2ban/ip.blacklist, ma mi pare che perché venga poi aggiunto in firewall devo riavviare fail2ban.

Allora lo metto in iptables e anche in ip.blacklist e fail2ban quando si riavvia lo mantiene bannato.

Questa la regoletta aggiunta da fail2ban...

Codice: Seleziona tutto
-A f2b-apache -s 54.38.255.116/32 -j REJECT --reject-with icmp-port-unreachable


Non è che quelli per l'accesso ad apache li devo settare in quella regola e non in ip-blacklist?
Non è la stessa cosa, nel senso sempre bloccato l'IP?
-------------
S. @-M.
-------------
Avatar utente
Sam9999
Scoppiettante Seguace
Scoppiettante Seguace
 
Messaggi: 713
Iscrizione: giugno 2014
Località: BO
Desktop: Studio Xfce
Distribuzione: Ubuntu 18.04 LTS Bionic Beaver

Re: Perché banno un IP e questo continua ad accedere?

Messaggioda Stealth » giovedì 12 luglio 2018, 22:37

Solo per scrupolo di pignoleria. Oltre a riavviare apache, dopo la modifica delle regole riavviavi anche il servizio del firewall?
ciao
Avatar utente
Stealth
Tenace Tecnocrate
Tenace Tecnocrate
 
Messaggi: 15455
Iscrizione: gennaio 2006
Desktop: Unity
Distribuzione: Ubuntu 18.04 LTS

Re: Perché banno un IP e questo continua ad accedere?

Messaggioda Sam9999 » giovedì 12 luglio 2018, 22:49

Stealth Immagine ha scritto:Solo per scrupolo di pignoleria. Oltre a riavviare apache, dopo la modifica delle regole riavviavi anche il servizio del firewall?
ciao


Non riavvio il firewall, provo a riavviare apache se per caso ha un threread ancora in corso e quindi lo si stoppa.
Devo riavviare anche iptables o quale ? A me non pare che ce ne sia stato bisogno in precedenza, appena inserito un ip è bloccato.

Dovrei riavviare anche ufw ?
Ufw

Acnhe se non credo che lo abbia mai usato... serve a mettere la regola in iptables... oltre ad abilitare il firewall. :birra:

Non sto usando altri servizi firewall...
Ultima modifica di Sam9999 il giovedì 12 luglio 2018, 22:58, modificato 1 volta in totale.
-------------
S. @-M.
-------------
Avatar utente
Sam9999
Scoppiettante Seguace
Scoppiettante Seguace
 
Messaggi: 713
Iscrizione: giugno 2014
Località: BO
Desktop: Studio Xfce
Distribuzione: Ubuntu 18.04 LTS Bionic Beaver

Re: Perché banno un IP e questo continua ad accedere?

Messaggioda Filoteo » giovedì 12 luglio 2018, 22:58

Solo per scrupolo di pignoleria. Oltre a riavviare apache, dopo la modifica delle regole riavviavi anche il servizio del firewall?
ciao

Non serve riavviare il firewall. Quando aggiungi una regola a iptables questa entra in azione immediatamente.

EDIT: corretto, il servizio in realtà c’è.
Ultima modifica di Filoteo il giovedì 12 luglio 2018, 23:05, modificato 1 volta in totale.
Filoteo
Scoppiettante Seguace
Scoppiettante Seguace
 
Messaggi: 367
Iscrizione: agosto 2015
Desktop: Gnome
Distribuzione: Manjaro Linux

Re: Perché banno un IP e questo continua ad accedere?

Messaggioda thece » giovedì 12 luglio 2018, 23:01

Nota: IPTables e UFW non sono altro che due diverse interfacce per Netfilter, il firewall integrato nel kernel di Linux. Non serve riavviare entrambi, basta riavviare quello che si usa: IPTables o UFW.
Avatar utente
thece
Rampante Reduce
Rampante Reduce
 
Messaggi: 9654
Iscrizione: aprile 2007
Distribuzione: Debian 9 (Stretch) - KDE

Re: Perché banno un IP e questo continua ad accedere?

Messaggioda Sam9999 » giovedì 12 luglio 2018, 23:09

Filoteo Immagine ha scritto:
Solo per scrupolo di pignoleria. Oltre a riavviare apache, dopo la modifica delle regole riavviavi anche il servizio del firewall?
ciao

Non serve riavviare il firewall. Quando aggiungi una regola a iptables questa entra in azione immediatamente.

EDIT: corretto, il servizio in realtà c’è.



Ecco quello che dicevo, ma ora ho visto che ufw non era abilitato ed ora è abilitato.. ha fatto un po' di casino in iptables... ma ora è a posto. :birra:

Quindi ho raddoppiato il firewall.. che spero no faccia casino di piu'..

mantenevo solo iptables.. che non mi piace ora.. :birra:
-------------
S. @-M.
-------------
Avatar utente
Sam9999
Scoppiettante Seguace
Scoppiettante Seguace
 
Messaggi: 713
Iscrizione: giugno 2014
Località: BO
Desktop: Studio Xfce
Distribuzione: Ubuntu 18.04 LTS Bionic Beaver

Re: Perché banno un IP e questo continua ad accedere?

Messaggioda Stealth » giovedì 12 luglio 2018, 23:23

Quindi ho raddoppiato il firewall.. che spero no faccia casino di piu'..


Forse non ho capito bene, ma se hai due configuratori di netfilter attivi beh, io eviterei. Scegline uno e spegni l'altro, e a questo punto vai anche a rivedere un po' tutto quello che hai toccato quando "non funzionava" il ban, ad es. fail2ban.
Insomma, appurato che bastava far recepire le regole e il firewall funziona, ripristinerei tutto ad uno stato precedente e sicuramente funzionante
ciao
Avatar utente
Stealth
Tenace Tecnocrate
Tenace Tecnocrate
 
Messaggi: 15455
Iscrizione: gennaio 2006
Desktop: Unity
Distribuzione: Ubuntu 18.04 LTS

Re: Perché banno un IP e questo continua ad accedere?

Messaggioda Sam9999 » giovedì 12 luglio 2018, 23:24

Stealth Immagine ha scritto:
Quindi ho raddoppiato il firewall.. che spero no faccia casino di piu'..


Forse non ho capito bene, ma se hai due configuratori di netfilter attivi beh, io eviterei. Scegline uno e spegni l'altro, e a questo punto vai anche a rivedere un po' tutto quello che hai toccato quando "non funzionava" il ban, ad es. fail2ban.
Insomma, appurato che bastava far recepire le regole e il firewall funziona, ripristinerei tutto ad uno stato precedente e sicuramente funzionante
ciao


Ci penso domattina.. mannaggia... fatto un casino, ma verificato funziona tutto.

Ecco che c'è un incasinamento, ora quando cancella da dentro la tabella iptables tutti i riferimenti a UFW dopo averlo disabilitato, mi da errore in restosre nella linea della ip-blacklist
Codice: Seleziona tutto
iptables-restore v1.6.1: Couldn't load target `f2b-ip-blacklist':No such file or directory


mentre se lascio i riferimenti non mi da errore:

Codice: Seleziona tutto
:ufw-before-forward - [0:0]
:ufw-before-input - [0:0]
:ufw-before-logging-forward - [0:0]
:ufw-before-logging-input - [0:0]
:ufw-before-logging-output - [0:0]
:ufw-before-output - [0:0]
:ufw-reject-forward - [0:0]
:ufw-reject-input - [0:0]
:ufw-reject-output - [0:0]
:ufw-track-forward - [0:0]
:ufw-track-input - [0:0]
:ufw-track-output - [0:0]
-A INPUT -p tcp -j f2b-ip-blacklist
-A INPUT -p tcp -m multiport --dports 22,939 -j f2b-sshd
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -m conntrack --ctstate INVALID -j DROP
-A INPUT -s 169.254.55.0/24 -j ACCEPT
-A INPUT -s 2.234.35.165/32 -j ACCEPT
-A INPUT -s 103.21.244.0/22 -p tcp -m multiport --dports 80,443,2086,2096 -j ACCEPT
-A INPUT -s 103.22.200.0/22 -p tcp -m multiport --dports 80,443,2086,2096 -j ACCEPT
-A INPUT -s 103.31.4.0/22 -p tcp -m multiport --dports 80,443,2086,2096 -j ACCEPT
-A INPUT -s 104.16.0.0/12 -p tcp -m multiport --dports 80,443,2086,2096 -j ACCEPT
-A INPUT -s 108.162.192.0/18 -p tcp -m multiport --dports 80,443,2086,2096 -j ACCEPT
-A INPUT -s 131.0.72.0/22 -p tcp -m multiport --dports 80,443,2086,2096 -j ACCEPT
-A INPUT -s 141.101.64.0/18 -p tcp -m multiport --dports 80,443,2086,2096 -j ACCEPT
-A INPUT -s 162.158.0.0/15 -p tcp -m multiport --dports 80,443,2086,2096 -j ACCEPT
-A INPUT -s 172.64.0.0/13 -p tcp -m multiport --dports 80,443,2086,2096 -j ACCEPT
-A INPUT -s 173.245.48.0/20 -p tcp -m multiport --dports 80,443,2086,2096 -j ACCEPT
-A INPUT -s 188.114.96.0/20 -p tcp -m multiport --dports 80,443,2086,2096 -j ACCEPT
-A INPUT -s 190.93.240.0/20 -p tcp -m multiport --dports 80,443,2086,2096 -j ACCEPT
-A INPUT -s 199.27.128.0/21 -p tcp -m multiport --dports 80,443,2086,2096 -j ACCEPT
-A INPUT -p tcp -m multiport --dports 80,443,2086,2096 -m conntrack --ctstate NEW,ESTABLISH$
-A INPUT -p tcp -m multiport --dports 21,22,25,110,143,465,587,939,993,995 -m conntrack --c$
-A INPUT -j ufw-before-logging-input
-A INPUT -j ufw-before-input
-A INPUT -j ufw-after-input
-A INPUT -j ufw-after-logging-input
-A INPUT -j ufw-reject-input
-A INPUT -j ufw-track-input
-A FORWARD -j ufw-before-logging-forward
-A FORWARD -j ufw-before-forward
-A FORWARD -j ufw-after-forward
-A FORWARD -j ufw-after-logging-forward
-A FORWARD -j ufw-reject-forward
-A FORWARD -j ufw-track-forward
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -m conntrack --ctstate ESTABLISHED -j ACCEPT
-A OUTPUT -p tcp -m multiport --dports 80,443,2086,2096 -m conntrack --ctstate ESTABLISHED $
-A OUTPUT -p tcp -m multiport --sports 21,22,25,110,143,465,587,939,993,995 -m conntrack --$
-A OUTPUT -j ufw-before-logging-output
-A OUTPUT -j ufw-before-output
-A OUTPUT -j ufw-after-output
-A OUTPUT -j ufw-after-logging-output
-A OUTPUT -j ufw-reject-output
-A OUTPUT -j ufw-track-output
-A f2b-ip-blacklist -j RETURN
-A f2b-sshd -j RETURN
-A f2b-vsftpd -j RETURN
COMMIT
# Completed on Fri Jul 13 07:16:19 2018


Trovato cancellavo dei riferimenti di troppo in alto.... cioè questi:

Codice: Seleziona tutto
:f2b-ip-blacklist - [0:0]
:f2b-sshd - [0:0]
:f2b-vsftpd - [0:0]
-------------
S. @-M.
-------------
Avatar utente
Sam9999
Scoppiettante Seguace
Scoppiettante Seguace
 
Messaggi: 713
Iscrizione: giugno 2014
Località: BO
Desktop: Studio Xfce
Distribuzione: Ubuntu 18.04 LTS Bionic Beaver


Torna a Ubuntu su server

Chi c’è in linea

Visualizzano questa sezione: 0 utenti registrati e 1 ospite