# iptables und route, wer ist "stärker"?



## greye (11. Mai 2012)

Hallo,

ich verwende fail2ban um mittels route die bösen Jungs draußen zu halten. Das funktioniert auch tadellos, wie ich im fail2ban log sehe.

Nun gibt es einen speziellen Kandidaten, der dauerhaft ssh-Logins versucht, immer von der gleichen IP aus.
Diese IP habe ich in iptables gedropt.

Trotzdem sehe ich, wie diese IP von fail2ban gebannt und wieder zugelassen wird.

Jetzt habe ich vielleicht einen Knoten im Hirn, aber es dürfte doch nach der Sperre in iptables eigentlich nix mehr von der IP bis zum ssh-Login durchkommen, oder?

Der DROP ist nach wie vor in der iptable Chain.



42m


----------



## nowayback (11. Mai 2012)

Moinsen,

du haust gerade 2 dinge durcheinander:
1. iptables und
2. fail2ban

Ja fail2ban arbeitet mit iptables aber du kannst trotzdem noch eigene Regeln anlegen.

In fail2ban gibt es ne fail2ban-ssh regel die nach x versuchen die ip für x minuten sperrt.

in den iptables kannst du ne eigene permanente regel anlegen z.b. für eine spezielle ip - die wir auch nicht von fail2ban überschrieben.

Sollte die Ip auf der "drop - liste"  stehen, kommt sie nicht bis zum ssh login - egal ob fail2ban oder eigene iptables regel - sondern bekommt nen timeout oder rejected.

Das Problem - oder Feature - bei dir ist einfach das fail2ban die logs scanned und daher zusätzlich nochmal nen drop in die fail2ban-ssh regel einfügt weil x fehlerhafte versuche durchgeführt wurden... Mein Tipp: erhöhe die Ban - Dauer für einen gewissen Zeitraum auf 24h und warte ob es sich bessert, wenn nicht, schreibe den Provider an und informiere diesen. Der muss dann handeln 


Grüße
nwb


----------



## greye (12. Mai 2012)

Zitat von nowayback:


> Moinsen,
> 
> du haust gerade 2 dinge durcheinander:
> 1. iptables und
> ...


Hallo,

mein fail2ban sperrt per route  iptables kümmert sich um den Rest 



Zitat von nowayback:


> Das Problem - oder Feature - bei dir ist einfach das fail2ban die logs scanned und daher zusätzlich nochmal nen drop in die fail2ban-ssh regel einfügt weil x fehlerhafte versuche durchgeführt wurden...


Eben das ist ja die Frage: Wenn ich per route (oder auch per iptables) sperre, dürfte doch ein fehlerhafter Loginversuch gar nicht zustande kommen können, weil der gesperrte Rechner ja gar nicht bis zur Anmeldung kommt. Somit dürfte es auch nix auswertbares in den Logs geben.



Zitat von nowayback:


> [...] schreibe den Provider an und informiere diesen. Der muss dann handeln


Nuja, der Provider sitzt in China, nennt sich GIANT Computer Network Technology Co., Ltd und residiert in "Room 701 Information Building NO.144".

Ich weiß nicht, ob solche Adressangaben in China für seriöse Firmen normal sind, aber Raum 701, das klingt für meine Ohren nach kleiner Klitsche. Ob ich da irgendwas erreiche? Ok einen Versuch ist es wert.

42m


----------



## nowayback (12. Mai 2012)

> Eben das ist ja die Frage: Wenn ich per route (oder auch per iptables) sperre, dürfte doch ein fehlerhafter Loginversuch gar nicht zustande kommen können, weil der gesperrte Rechner ja gar nicht bis zur Anmeldung kommt. Somit dürfte es auch nix auswertbares in den Logs geben.


Wenn du per iptables die IP sperrst, dann kommt diese definitiv nicht bis zum login und erzeugt auch keine meldung in den logs die fail2ban auswertet.

Hier musst du prüfen ob du die chain korrekt eingerichtet hast (iptables -L)



> Nuja, der Provider sitzt in China, nennt sich GIANT Computer Network Technology Co., Ltd und residiert in "Room 701 Information Building NO.144".
> 
> Ich weiß nicht, ob solche Adressangaben in China für seriöse Firmen normal sind, aber Raum 701, das klingt für meine Ohren nach kleiner Klitsche. Ob ich da irgendwas erreiche? Ok einen Versuch ist es wert.


Ripe klärt das gerne für dich... die sind auch schnell dabei mal ne IP abzuschalten wenn es keine Reaktion des Ripe Mitglieds gibt, dass für den Adressbereich zuständig - das den Adressbereich zugeteilt - bekommen hat. 

Ich hab ne ganze Weile damit zutun gehabt und kann dir sagen dass es als Provider ziemlich nervig sein kann wenn da false Meldungen eingehen... aber im berechtigten fall hab ich den/die Server einfach auf Grund von AGB's abschalten können und somit Ripe-konform reagieren können/müssen  So muss es auch der Chinese tun können/müssen.

Grüße
nwb


----------

