fail2ban + iptables quelque chose m'echappe

Support Debian
#1

hello,

si quelqu’un a cette précision, ca me soulagerai.
quelque chose me manque pour comprendre comment fail2ban banni avec iptalbes.

Je ne suis pas un grand expert de fail2ban ni d’iptables.

j’ai bien compris que pour bannir, fail2ban créer tout simplement une règle iptables pour bloquer l’ip ayant matchée avec un critère de ban:ok

la règle créée est positionnée dans iptables sous une “chain” bien souvent nommée comme le fitre fail2ban.

ce qui m’intrigue c’est que les règles créées sont super simples.
Il n’y a pas de précision sur le protocole, pas de port, pas de notion tcp, udp …

Alors je me dis 2 possibilités:

  1. soit les “chain” dans iptables auraient une notion d’objet avec une configuration a part comme des ports ou autres…?

  2. soit lorsque f2b banni une ip c’est complétement sur tous les port …? ( mais j’ai deja vu des bannissements suite a erreur de login/mdp sur apache qui laissait les accès ssh par ex.

voila pour résumer quelque chose m’échappe pour comprendre de bout en bout la chose…

Merci a tous pour vos explications

Bubar

#2

les ports à bloquer, c’est paramétrable avec l’action iptables-multiport

par exemple dans mon /etc/fail2ban/jail.local, il y a (entre autres)

[roundcube] enabled = true filter = roundcube action = iptables-multiport[name=roundcube, port="http,https,smtp,smtps,pop3,pop3s,imap,imaps,sieve", protocol=tcp] sendmail-whois[name=roundcube, dest=root] logpath = /var/log/mail.log

#3

Salut,
Les ports bloqués sont définis par la chaine fail2ban:

Ici, l’IP xxx.241.108.117 est bloquée pour ceci:

[named-refused-tcp] enabled = true port = domain,953 protocol = tcp filter = named-refused logpath = /var/log/named/security.log

Soit les ports 53 et 953

#4

Merci pour vos réponses !

Je peux en conclure que ma supposition 1) était la bonne ?
Comme sur les fw cisco asa, pix et autres:
la notion de chain dans iptables renvois bien à une espèce d’objet regroupant des critères tel que protocole , tcp, range de ports …?

Je remarque aussi que je n’ai pas de jail.local. je crois que c’est le jail presonalisé il me semble.

J’ai cependant un action.d contenant le, cité plus haut, iptables-multiport
c’est a priori bien lui qui injecte les règles iptables avec des variables définies par les et de filter eux mêmes précisant les ports et protocoles.

Merci pour ton exemple agentsteel car je vois maintenant que l’on peut s’affranchir des définitions par défaut des variables des action.d en précisant directement dans le jail.conf (ou .local) le type de banaction : iptables-multiports + name=mon-protocole, port= mes ports

Encore merci, j’ai maintenant compris.

PS: comment puis-je mettre la coche verte ?

#5

Clique dessus… (en bas à droite du message)!

#6

Non. Une chaîne est juste une liste de règles, avec, pour les chaînes intégrées (INPUT, OUTPUT…) une politique par défaut (ACCEPT, DROP…). Les critères de port, protocole… sont dans les règles.