iptables mit nftables für fail2ban?

Debian macht sich hervorragend als Web- und Mailserver. Schau auch in den " Tipps und Tricks"-Bereich.
Antworten
Benutzeravatar
fulltilt
Beiträge: 1155
Registriert: 03.12.2006 20:10:57

iptables mit nftables für fail2ban?

Beitrag von fulltilt » 29.06.2020 11:25:34

Ich habe ein komplexes iptables script in Verwendung was u.a. auch IP ranges blockt, manchmal kommt es deswegen bei Fail2Ban zu errors wenn die IP in einer blockierten Range bereits vorhanden ist ...
Kann man iptables zusammen mit nftables ohne Konflikte verwenden?
Also iptables für die Firewall und nftables nur für fail2Ban:

Code: Alles auswählen

[DEFAULT]
banaction = nftables
Debian: Testing
Desktop: KDE Plasma 5

mat6937
Beiträge: 2927
Registriert: 09.12.2014 10:44:00

Re: iptables mit nftables für fail2ban?

Beitrag von mat6937 » 29.06.2020 11:59:19

fulltilt hat geschrieben: ↑ zum Beitrag ↑
29.06.2020 11:25:34
Ich habe ein komplexes iptables script in Verwendung was u.a. auch IP ranges blockt, manchmal kommt es deswegen bei Fail2Ban zu errors wenn die IP in einer blockierten Range bereits vorhanden ist ...
Benutzt Du iptables mit "xtables-nft-multi" oder mit "xtables-legacy-multi"?

Unabhängig davon könnte es sein, wenn Du nftables und iptables benutzt, dass eine nftables-Regel oder eine iptables-Regel nie wirksam werden kann, wenn die Bedingung sowohl in einer iptables- als auch in einer nftables-Regel vorhanden ist. Das solltest Du testen. Wird als 1., die nftables- oder die iptables-Regel ausgeführt?

Benutzeravatar
fulltilt
Beiträge: 1155
Registriert: 03.12.2006 20:10:57

Re: iptables mit nftables für fail2ban?

Beitrag von fulltilt » 29.06.2020 12:10:24

mat6937 hat geschrieben: ↑ zum Beitrag ↑
29.06.2020 11:59:19
fulltilt hat geschrieben: ↑ zum Beitrag ↑
29.06.2020 11:25:34
Ich habe ein komplexes iptables script in Verwendung was u.a. auch IP ranges blockt, manchmal kommt es deswegen bei Fail2Ban zu errors wenn die IP in einer blockierten Range bereits vorhanden ist ...
Benutzt Du iptables mit "xtables-nft-multi" oder mit "xtables-legacy-multi"?

Unabhängig davon könnte es sein, wenn Du nftables und iptables benutzt, dass eine nftables-Regel oder eine iptables-Regel nie wirksam werden kann, wenn die Bedingung sowohl in einer iptables- als auch in einer nftables-Regel vorhanden ist. Das solltest Du testen. Wird als 1., die nftables- oder die iptables-Regel ausgeführt?
verwende das standard iptables package von Stretch ...
habs schon geahnt, also keine gute Idee beide zusammen zu verwenden
gibt es sonst noch eine andere Möglichkeit IP ranges mit iptables zu sperren was dann besser mit Fail2Ban zusammen funktioniert?

Code: Alles auswählen

iptables -I INPUT -s 2.58.46.0/24 -j DROP
Debian: Testing
Desktop: KDE Plasma 5

mat6937
Beiträge: 2927
Registriert: 09.12.2014 10:44:00

Re: iptables mit nftables für fail2ban?

Beitrag von mat6937 » 29.06.2020 12:33:21

fulltilt hat geschrieben: ↑ zum Beitrag ↑
29.06.2020 12:10:24
gibt es sonst noch eine andere Möglichkeit IP ranges mit iptables zu sperren was dann besser mit Fail2Ban zusammen funktioniert?

Code: Alles auswählen

iptables -I INPUT -s 2.58.46.0/24 -j DROP
Statt der netmask (für das ganze 24er-Subnetz) kannst Du auch nur bestimmte Bereiche verwenden. Z. B.:

Code: Alles auswählen

iptables -I INPUT -m iprange --src-range 2.58.46.21-2.58.46.199 -j DROP

Benutzeravatar
fulltilt
Beiträge: 1155
Registriert: 03.12.2006 20:10:57

Re: iptables mit nftables für fail2ban?

Beitrag von fulltilt » 29.06.2020 12:41:24

Danke, ich kann das noch etwas optimieren, aber letztendlich denke ich F2B kann IP ranges nicht richtig verwursten :mrgreen:
Kann man ja vorher nicht wissen welche IPs geblockt werden, F2B läuft momentan über die fail2ban.sqlite3, also speichert alles ab ...
vieleicht könnte es etwas nützen F2B ohne dbfile zu verwenden wg. besserer Performance bei den Checks?
Zuletzt geändert von fulltilt am 29.06.2020 13:05:20, insgesamt 1-mal geändert.
Debian: Testing
Desktop: KDE Plasma 5

mat6937
Beiträge: 2927
Registriert: 09.12.2014 10:44:00

Re: iptables mit nftables für fail2ban?

Beitrag von mat6937 » 29.06.2020 12:49:46

fulltilt hat geschrieben: ↑ zum Beitrag ↑
29.06.2020 12:10:24
verwende das standard iptables package von Stretch ...
Wie ist die Ausgabe von:

Code: Alles auswählen

iptables -V
?

Benutzeravatar
fulltilt
Beiträge: 1155
Registriert: 03.12.2006 20:10:57

Re: iptables mit nftables für fail2ban?

Beitrag von fulltilt » 29.06.2020 13:06:18

Wie ist die Ausgabe von:

Code: Alles auswählen

iptables -V
läuft noch auf Stretch:

Code: Alles auswählen

iptables v1.6.0
Debian: Testing
Desktop: KDE Plasma 5

mat6937
Beiträge: 2927
Registriert: 09.12.2014 10:44:00

Re: iptables mit nftables für fail2ban?

Beitrag von mat6937 » 29.06.2020 13:28:41

fulltilt hat geschrieben: ↑ zum Beitrag ↑
29.06.2020 13:06:18

Code: Alles auswählen

iptables v1.6.0
OK. Das ist dann noch iptables-legacy (ohne nf_tables).
Im Vergleich, z. B. die Version 1.8.2 (mit nf_tables):

Code: Alles auswählen

:~# iptables -V
iptables v1.8.2 (nf_tables)

Benutzeravatar
fulltilt
Beiträge: 1155
Registriert: 03.12.2006 20:10:57

Re: iptables mit nftables für fail2ban?

Beitrag von fulltilt » 29.06.2020 13:32:19

ja genau, ist noch legacy ...
Debian: Testing
Desktop: KDE Plasma 5

Benutzeravatar
fulltilt
Beiträge: 1155
Registriert: 03.12.2006 20:10:57

Re: iptables mit nftables für fail2ban?

Beitrag von fulltilt » 29.06.2020 17:18:35

habe mal bei Fail2ban dbfile auf None gesetzt, jetzt sieht es ziemlich gut aus ... scheint alles in allem auch schneller zu blockieren und weniger Load für den F2B service zu produzieren.

Code: Alles auswählen

nano /etc/fail2ban/fail2ban.local

[Definition]
 
# Options: dbfile
# Notes.: Set the file for the fail2ban persistent data to be stored.
#         A value of ":memory:" means database is only stored in memory
#         and data is lost when fail2ban is stopped.
#         A value of "None" disables the database.
# Values: [ None :memory: FILE ] Default: /var/lib/fail2ban/fail2ban.sqlite3
dbfile = None
Debian: Testing
Desktop: KDE Plasma 5

Benutzeravatar
fulltilt
Beiträge: 1155
Registriert: 03.12.2006 20:10:57

Re: iptables mit nftables für fail2ban?

Beitrag von fulltilt » 30.06.2020 09:43:23

der Fehler könnte auch durch fehlerhafte jail.local Ports verursacht werden ....
wie müsste der Port String korrekt aussehen?
hier meine config:

Code: Alles auswählen

[postfix-sasl]

enabled  = true
port     = smtp,465,submission,imap2,imaps,pop3,pop3s
filter   = postfix-sasl
logpath  = /var/log/mail.warn
maxretry = 1
bantime  = 3600
logencoding = utf-8

[dovecot]

enabled  = true
port     = smtp,465,submission,imap2,imaps,pop3,pop3s
filter   = dovecot
logpath  = /var/log/mail.log
maxretry = 4
bantime  = 3600
imap3 hatte ich mal rausgenommen weil F2B damit nicht gestartet ist ... jetzt steht da noch imap2, sollte der wie unten auf imap geändert werden?

Code: Alles auswählen

smtp,465,submission,imap,imaps,pop3,pop3s
Fail2Ban v0.9.6
Debian Stretch
Debian: Testing
Desktop: KDE Plasma 5

Antworten