fail2ban не могу настроить другой порт SSH

[georgich]

Было сделано и перезапущены сервисы iptables и fail2ban. Результат такой же :(

[Mr.Erbutw]

Было сделано и перезапущены сервисы iptables и fail2ban. Результат такой же :(

Можно отключить iptables и fail2ban настроить ssh если сработает прибывать пробрасывать порт в iptables.
Должно работать если все правильно сделано.

[georgich]

Чего-то я все сломал.
В этом файле прописал порт

/etc/ssh/sshd_config
Port мой_порт

И все... В самой панели теперь не сменить порт на другой. Он автоматом "подсасывает" из этого файла. По ssh так же не попасть :)

[georgich]

Доступ восстановил. Но ребус со сменой порта не решил. Понял что в файле sshd_config менять порт не надо. Иначе все колом встает...

[abst]

Я крайне не люблю ответы из серии: "у меня все работает", но однако так и есть.
- ssh - использовал другой порт 22222
- fail2ban - вместо ssh в port указал порт 22222
- в настройках firewall в панели изменил 22 на 22222
- перезапустил сервис iptables из панели

В итоге по 22 порту не отзывалось, по 22222 отзывалось.
После 6 неудачных попыток файл2бан меня успешно забанил.

Так что развожу руками.

Столкнулся с проблемой, порт в конфигах ssh поменял, в firewall в панели тоже, в итоге по новому порту заходит, по старому нет, но вот при входе по новому порту fail2ban не банит, использую jail.local, указываю порт принудительно.

Точнее мой ip появляется в списке забаненных, но при этом сервер дает попытки авторизоваться не смотря на ограничения. После появления ip в списке забаненных также не дает войти с действующим паролем выдавая ошибку:

Access denied

а не просто разрывая соединение, как это было на дефолтном порту.

В логах при этом пишется совершенно не тот порт (каждый раз разный) при попытках авторизации:
Sep 20 15:46:56 58085 sshd[10059]: Failed password for root from 46.146.64.41 port 51963 ssh2
Должен быть 2111

Что делаю не так? На сервере Centos 7.2

[abst]

В итоге удалось заставить fail2ban банить попытки авторизации на кастомном порту. Нужно изменить порт в файле /usr/local/vesta/bin/v-add-firewall-chain, но вариант не очень в плане обновления панели, так как придется вносить правки постоянно. Поэтому ищу более оптимальный вариант заставить работать fail2ban по ssh на произвольном порту.

Code: Select all

/usr/local/vesta/bin/v-add-firewall-chain

#----------------------------------------------------------#
#                       Action                             #
#----------------------------------------------------------#

# Checking known chains
case $chain in
    SSH)        port=22; protocol=TCP ;;
    FTP)        port=21; protocol=TCP  ;;
    MAIL)       port='25,465,587,2525,110,995,143,993'; protocol=TCP  ;;
    DNS)        port=53; protocol=UDP  ;;
    WEB)        port='80,443'; protocol=TCP  ;;
    DB)         port='3306,5432'; protocol=TCP  ;;
    VESTA)      port=8083; protocol=TCP  ;;
    *)          check_args '2' "$#" 'CHAIN PORT' ;;
esac

[isaround]

В итоге удалось заставить fail2ban банить попытки авторизации на кастомном порту. Нужно изменить порт в файле /usr/local/vesta/bin/v-add-firewall-chain, но вариант не очень в плане обновления панели, так как придется вносить правки постоянно. Поэтому ищу более оптимальный вариант заставить работать fail2ban по ssh на произвольном порту.

Code: Select all

/usr/local/vesta/bin/v-add-firewall-chain

#----------------------------------------------------------#
#                       Action                             #
#----------------------------------------------------------#

# Checking known chains
case $chain in
    SSH)        port=22; protocol=TCP ;;
    FTP)        port=21; protocol=TCP  ;;
    MAIL)       port='25,465,587,2525,110,995,143,993'; protocol=TCP  ;;
    DNS)        port=53; protocol=UDP  ;;
    WEB)        port='80,443'; protocol=TCP  ;;
    DB)         port='3306,5432'; protocol=TCP  ;;
    VESTA)      port=8083; protocol=TCP  ;;
    *)          check_args '2' "$#" 'CHAIN PORT' ;;
esac

Копался я с этой же проблемой и пришёл к такому же решению - костылю. Если не исправить порт в v-add-firewall-chain, то чейны создаются с тем портом как указано в нем, и соотвественно бан на нестандартном порту не будет работать. Может быть появилось какое-то более красивое решение данной задачи?