VestaCP Firewalld за CloudFlare Не блокирует запросы.

wtfowned · Post by **wtfowned** » Thu Mar 07, 2019 3:05 pm

Добрый день!

1. Внутри сервера настройка стоит nginx+apache2 для доменов.
2. Сайты стоят за Cloudflare.
3. Переключение настроек для домена с nginx или без nginx - ничего не меняет, правила по-прежнему не работают на блокировку.

Если же делаю SUSPEND на правило 0.0.0.0/0 ACCEPT 80,443 (WEB) , то все "ок" - сервер не принимает никаких коннектов :)
Нужно чтобы принимал все, ЗА ИСКЛЮЧЕНИЕМ тех кто введены в правилах где стоит DROP.

Пробовал также менять местами правила. Сначала указать ACCEPT правило, а потом все на DROP, и наоборот (так по стандарту в веб-интерфейсе правила добавляются вверх, а в конфиге они идут вниз), но тоже ничего не изменилось.

Если проверяю Netstat, то коннекты вижу только с IP Адресов Cloudflare, хотя в стандартном nginx конфиге вроде как прописано отображение корректного IP.

Если смотреть на вкладке https://SERVERIP:8083/list/server/?web , то виуже тоже реальные IP коннетов - ничего не понимаю...

В самих логах Apache для доменов уже настоящие IP отображаются, то есть Nginx принимает запрос от клауда, и передает в Apache корректный IP.

Проблема в том что через веб-интерфейс ввожу правила для блокировки по IP и они не работают. Что можно сделать?

duddy2007 · Post by **duddy2007** » Sat Mar 16, 2019 7:36 pm

Сегодня столкнулся с точно такой же проблемой, тоже не знаю что делать?
узнал о ней так, поднял правило fail2ban на блокировку ошибочной авторизации в Wordpress
увидел что fail2ban легко и корректно добавляет IP адреса в блокировку пачками, но как выяснилось с этих адресов можно по прежнему заходить, лично проверял несколько раз на своем IP
зашел проверил мой ip попадает в список на блокировку, однако я по прежнему свободно захожу на сайт

Code: Select all

Chain fail2ban-WEB (1 references)
 pkts bytes target     prot opt in     out     source               destination
    0     0 REJECT     all  --  *      *       178.32.55.52         0.0.0.0/0            reject-with icmp-port-unreachable

И я не уверен, что всему виной CloudFlare дело в том, что я пробовал атаковать даже напрямую IP самого сервера перебор паролей для phpmyadmin, а он не имеет отношения к CloudFlare, так вот fail2ban формирует тоже правило на меня, но реально блокировка не происходит.

И тут важный момент я проверял у меня реально такой IP адрес, т.е. сервер его правильно распознает, затем записывает в лог, затем fail2ban его оттуда вычитывает и ставит корректно в блокировку в iptables, но сама блокировка не работает. Может правила в iptables задаются не верно ?
вот как у меня выглядит таблица фаервола:

SpoilerShow

Chain INPUT (policy DROP 20 packets, 800 bytes)
pkts bytes target prot opt in out source destination
472 71902 fail2ban-VESTA tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:8083
0 0 fail2ban-FTP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:21
3 180 fail2ban-SSH tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:22
212 13728 f2b-sshd tcp -- * * 0.0.0.0/0 0.0.0.0/0 multiport dports 22
30330 3540K fail2ban-WEB tcp -- * * 0.0.0.0/0 0.0.0.0/0 multiport dports 80,443
135 9555 fail2ban-MAIL tcp -- * * 0.0.0.0/0 0.0.0.0/0 multiport dports 25,465,587,2525,110,995,143,993
820K 335M ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
0 0 ACCEPT all -- * * 212.8.247.201 0.0.0.0/0
11692 702K ACCEPT all -- * * 127.0.0.1 0.0.0.0/0
9 468 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:22
27358 1422K ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 multiport dports 80,443
5 204 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 multiport dports 21,12000:12100
2 123 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:53
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:53
14 760 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 multiport dports 25,465,587,2525
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 multiport dports 110,995
2 100 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 multiport dports 143,993
3 128 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 multiport dports 3306,5432
222 11528 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:8083
8 290 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination

Chain OUTPUT (policy ACCEPT 7554 packets, 14M bytes)
pkts bytes target prot opt in out source destination

Chain f2b-sshd (1 references)
pkts bytes target prot opt in out source destination
212 13728 RETURN all -- * * 0.0.0.0/0 0.0.0.0/0

Chain fail2ban-FTP (1 references)
pkts bytes target prot opt in out source destination
0 0 RETURN all -- * * 0.0.0.0/0 0.0.0.0/0

Chain fail2ban-MAIL (1 references)
pkts bytes target prot opt in out source destination

Chain fail2ban-SSH (1 references)
pkts bytes target prot opt in out source destination
3 180 RETURN all -- * * 0.0.0.0/0 0.0.0.0/0

Chain fail2ban-VESTA (1 references)
pkts bytes target prot opt in out source destination
472 71902 RETURN all -- * * 0.0.0.0/0 0.0.0.0/0

Chain fail2ban-WEB (1 references)
pkts bytes target prot opt in out source destination
0 0 REJECT all -- * * 178.32.55.52 0.0.0.0/0 reject-with icmp-port-unreachable

Chain vesta (0 references)
pkts bytes target prot opt in out source destination

Что я делаю не так, почему IP не блокируются ?

duddy2007 · Post by **duddy2007** » Fri Mar 22, 2019 4:27 pm

все понятно решение найдено, iptables реально ничего не сможет заблокировать потому что cloudflare действительно не заходит на сервер с прямым ip адресом, а лишь возвращает nginx его и надо блокировать адреса на самом cloudflare вот и все решение.
в fail2ban есть пример как это делать, только он устарел но можно нагуглить другие варианты по запросам cloudflare fail2ban увидите много интересного !
у меня получилось все сделать.

Shaman2 · Post by **Shaman2** » Thu Jul 18, 2019 9:37 pm

Так может опубликуете решение?

prmres · Post by **prmres** » Thu Aug 08, 2019 3:13 pm

Shaman2 wrote: ↑
Thu Jul 18, 2019 9:37 pm
Так может опубликуете решение?

не барское это дело

Vesta Control Panel - Forum