[CentOS-es] [Fail2Ban] Banneo de IPs no funciona :S
angel jauregui
darkdiabliyo en gmail.com
Sab Feb 27 17:40:26 UTC 2016
Buen dia.
Ultimamente estuve revisando /var/log/messages y encontre en tiempo real
*intentos *ataques de ddns a otros dominios por medio de mi servidor dns:
*shell# tail -f /var/log/messeges*
Feb 27 11:34:09 linux named[20398]: client 125.161.149.111#47832: query
(cache) 'cpsc.gov/ANY/IN' *denied*
Como ven los intentos estan *denied*, pero implemente una regla en fail2ban
pero no funciona :(, no veo que la IP que esta haciendo el ataque recursivo
pase a DROP en las reglas IPTables :S !...
*shell# cat /etc/fail2ban/jail.conf*
....
[named-refused-udp]
enabled = true
filter = named-refused
port = domain,953
protocol = udp
action = iptables-multiport[name=Named, port="domain,953", protocol=udp]
logpath = /var/log/messages
maxretry = 3
....
Por ejemplo ahorita veo que la ip 125.161.149.111 en menos de un minuto
hace mas de 20 consultas, pero no lo veo en el iptables banneado :S...
*shell# iptables -L -n | grep 125.161.149.111*
shell#
Porque ???....
*shell# /etc/init.d/fail2ban status*
Se está ejecutando fail2ban-server (pid 24409)...
Status
|- Number of jail: 2
`- Jail list: named-refused-udp, ssh-iptables
Saludos !
--
M.S.I. Angel Haniel Cantu Jauregui.
Celular: (011-52-1)-899-871-17-22
E-Mail: angel.cantu en sie-group.net
Web: http://www.sie-group.net/
Cd. Reynosa Tamaulipas.
Más información sobre la lista de distribución CentOS-es