[CentOS-es] Fail2Ban quitar notificacion por correo ?

angel jauregui darkdiabliyo en gmail.com
Jue Dic 24 19:12:45 UTC 2015 

Efectivamente algo va mal.... realice update y ahora no esta agregando las
IPs al documento "ip.blacklist" y tampoco esta colocando las reglas para
bloquear. Justamente veo en */var/log/secure* los multiples intentos
fallidos al puerto SSH de las IPs: 60.173.14.144 y 43.229.53.55.

Alguien que le haya pasado lo mismo ultimamente ?




El 24 de diciembre de 2015, 13:03, angel jauregui <darkdiabliyo en gmail.com>
escribió:

> Reviviendo un poco el tema, pero ahora por el lado de *IPTables con
> Fail2Ban*.
>
> Resulta que hoy 23-Diciembre realice update a mi sistema centos y note los
> siguientes mensajes de error en el los de messages despues de haber
> reiniciado mi firewall y en seguida el fail2ban.
>
> *shell# tail -f /var/log/messages*
> Dec 24 12:59:19 megatron fail2ban.action[8427]: ERROR iptables -I
> fail2ban-SSH 1 -s 212.129.59.201 -j <blocktype>#012echo 212.129.59.201 >>
> /etc/fail2ban/ip.blacklist -- returned 1
>
> Aun necesito probar si el fail2ban esta haciendo su cometido (meter las
> reglas al iptables), pero de momento alguien tiene detalles de ese error ?
>
> Saludos !
>
>
> El 2 de noviembre de 2015, 11:33, angel jauregui <darkdiabliyo en gmail.com>
> escribió:
>
>> Fijese David que lo tengo bien configurada esa parte que usted menciona,
>> y aun asi no se ponene las reglas IPTables !
>>
>> El 2 de noviembre de 2015, 5:20, David González Romero <
>> dgrvedado en gmail.com> escribió:
>>
>>> Angel:
>>>
>>> Es este mismo hilo te respondí porque no sale... revisa el tercer
>>> mensaje del hijo y verás...
>>>
>>> Saludos,
>>> David
>>>
>>> El día 31 de octubre de 2015, 13:12, angel jauregui
>>> <darkdiabliyo en gmail.com> escribió:
>>> > Recientemente instale ayer un nuevo server, le monte fail2ban y
>>> resulta que
>>> > levanta todo bien pero a la hora de hacer intentos fallidos de
>>> conexion ssh
>>> > NO me agrega esa IP al DROP/REJECT del IPTABLES ???, lo unico que veo
>>> es
>>> > que *imprime en /var/log/messages* que va a bannear esa IP, pero en el
>>> > IPTABLES no veo nada :(, ni tampoco veo que se volque dicha IP a mi
>>> *archivo
>>> > ip.blacklist*.
>>> >
>>> > shell# tail -f /var/log/messages
>>> > Oct 31 10:09:49 linux fail2ban.filter[55486]: INFO [ssh-iptables] Found
>>> > 11.22.33.44
>>> > Oct 31 10:09:50 linux fail2ban.actions[55486]: NOTICE [ssh-iptables]
>>> > 11.22.33.44 already banned
>>> >
>>> > shell# iptables -L -n
>>> > Chain fail2ban-SSH (4 references)
>>> > target     prot opt source               destination
>>> > RETURN     all  --  0.0.0.0/0            0.0.0.0/0
>>> > RETURN     all  --  0.0.0.0/0            0.0.0.0/0
>>> > RETURN     all  --  0.0.0.0/0            0.0.0.0/0
>>> > RETURN     all  --  0.0.0.0/0            0.0.0.0/0
>>> >
>>> > shell# cat /etc/fail2ban/ip.blacklist
>>> > shell#
>>> >
>>> > Que sera ?
>>> >
>>> > Saludos !
>>> >
>>> >
>>> >
>>> >
>>> > El 22 de octubre de 2015, 16:26, angel jauregui <
>>> darkdiabliyo en gmail.com>
>>> > escribió:
>>> >
>>> >> Gracias por su respuesta David, verificare lo que comentas porque
>>> >> actualmente si le muevo a la parte de "sendmail" dentro de jail.conf,
>>> >> simplemene sale error al reiniciar el servicio, como que la sintaxis
>>> >> necesita otro parametro :S, y tengo que regresarlo a como lo tenia
>>> con las
>>> >> notificaciones al mail.
>>> >>
>>> >> Saludos !
>>> >>
>>> >> El 22 de octubre de 2015, 14:08, David González Romero <
>>> >> dgrvedado en gmail.com> escribió:
>>> >>
>>> >>> Yo mismo me respondo:
>>> >>>
>>> >>> Al actualizar a la ultima versión y leer el Changelog vi esto:
>>> >>> * action.d/iptables-common.conf - All calls to iptables command now
>>> >>> use -w switch introduced in iptables 1.4.20 (some distribution could
>>> >>> have patched their earlier base version as well) to provide this
>>> >>> locking mechanism useful under heavy load to avoid contesting on
>>> >>> iptables calls. If you need to disable, define
>>> >>> 'action.d/iptables-common.local' with empty value for 'lockingopt' in
>>> >>> `[Init]` section.
>>> >>>
>>> >>> Lo que hice fue:
>>> >>> - cp /etc/fail2ban/action.d/iptables-common.conf
>>> >>> /etc/fail2ban/action.d/iptables-common.local
>>> >>> - vim /etc/fail2ban/action.d/iptables-common.local
>>> >>> Y el parametro que esta asi
>>> >>> lockingopt = -w
>>> >>> Lo puse así:
>>> >>> lockingopt =
>>> >>> - Despues: service fail2ban reload
>>> >>>
>>> >>> Angel chequea no sea que tu Fail2ban precisa de modificaciones en la
>>> >>> configuración debido a estos upgrades.
>>> >>>
>>> >>> Saludos,
>>> >>> David
>>> >>>
>>> >>> El día 22 de octubre de 2015, 15:31, David González Romero
>>> >>> <dgrvedado en gmail.com> escribió:
>>> >>> > A mi desde que se upgradeo la ultima vez que no me muestra las
>>> reglas
>>> >>> > del Iptables. Estaba pensando en hacer un post a la lista, y ahora
>>> con
>>> >>> > tu mail ya me anime a soltar la duda si alguien se ha enfrentado a
>>> >>> > problemas con Fail2ban
>>> >>> >
>>> >>> > Saludos,
>>> >>> > David
>>> >>> >
>>> >>> > El día 22 de octubre de 2015, 14:22, angel jauregui
>>> >>> > <darkdiabliyo en gmail.com> escribió:
>>> >>> >> Buen dia.
>>> >>> >>
>>> >>> >> Estoy recibiendo mas de 100 correos diarios se intentos de
>>> conexion a
>>> >>> mi
>>> >>> >> puerto SSH, al principio eran pocos y pasaba :D... pero ahora han
>>> >>> >> incrementado y me estan fastidiando.
>>> >>> >>
>>> >>> >> Intente editar mi configuracion omitiendo el correo, pero falla el
>>> >>> reinicio.
>>> >>> >>
>>> >>> >> Les indico mi actual config. de fail2ban para el ssh:
>>> >>> >>
>>> >>> >> *shell# cat /etc/fail2ban/jail.conf*
>>> >>> >> [ssh-iptables]
>>> >>> >>
>>> >>> >> enabled  = true
>>> >>> >> filter   = sshd
>>> >>> >> action   = iptables-multiport[name=SSH, port=ssh, protocol=tcp]
>>> >>> >>            sendmail-whois[name=SSH, dest=micorreo en gmail.com,
>>> sender=
>>> >>> >> fail2ban en midominio.com, sendername="Fail2Ban $
>>> >>> >> logpath  = /var/log/secure
>>> >>> >> maxretry = 3
>>> >>> >>
>>> >>> >> Saludos !
>>> >>> >>
>>> >>> >> --
>>> >>> >> M.S.I. Angel Haniel Cantu Jauregui.
>>> >>> >>
>>> >>> >> Celular: (011-52-1)-899-871-17-22
>>> >>> >> E-Mail: angel.cantu en sie-group.net
>>> >>> >> Web: http://www.sie-group.net/
>>> >>> >> Cd. Reynosa Tamaulipas.
>>> >>> >> _______________________________________________
>>> >>> >> CentOS-es mailing list
>>> >>> >> CentOS-es en centos.org
>>> >>> >> https://lists.centos.org/mailman/listinfo/centos-es
>>> >>> _______________________________________________
>>> >>> CentOS-es mailing list
>>> >>> CentOS-es en centos.org
>>> >>> https://lists.centos.org/mailman/listinfo/centos-es
>>> >>>
>>> >>
>>> >>
>>> >>
>>> >> --
>>> >> M.S.I. Angel Haniel Cantu Jauregui.
>>> >>
>>> >> Celular: (011-52-1)-899-871-17-22
>>> >> E-Mail: angel.cantu en sie-group.net
>>> >> Web: http://www.sie-group.net/
>>> >> Cd. Reynosa Tamaulipas.
>>> >>
>>> >
>>> >
>>> >
>>> > --
>>> > M.S.I. Angel Haniel Cantu Jauregui.
>>> >
>>> > Celular: (011-52-1)-899-871-17-22
>>> > E-Mail: angel.cantu en sie-group.net
>>> > Web: http://www.sie-group.net/
>>> > Cd. Reynosa Tamaulipas.
>>> > _______________________________________________
>>> > CentOS-es mailing list
>>> > CentOS-es en centos.org
>>> > https://lists.centos.org/mailman/listinfo/centos-es
>>> _______________________________________________
>>> CentOS-es mailing list
>>> CentOS-es en centos.org
>>> https://lists.centos.org/mailman/listinfo/centos-es
>>>
>>
>>
>>
>> --
>> M.S.I. Angel Haniel Cantu Jauregui.
>>
>> Celular: (011-52-1)-899-871-17-22
>> E-Mail: angel.cantu en sie-group.net
>> Web: http://www.sie-group.net/
>> Cd. Reynosa Tamaulipas.
>>
>
>
>
> --
> M.S.I. Angel Haniel Cantu Jauregui.
>
> Celular: (011-52-1)-899-871-17-22
> E-Mail: angel.cantu en sie-group.net
> Web: http://www.sie-group.net/
> Cd. Reynosa Tamaulipas.
>



-- 
M.S.I. Angel Haniel Cantu Jauregui.

Celular: (011-52-1)-899-871-17-22
E-Mail: angel.cantu en sie-group.net
Web: http://www.sie-group.net/
Cd. Reynosa Tamaulipas.

Más información sobre la lista de distribución CentOS-es