Vesta Control Panel - Forum

Community Forum
https://forum.vestacp.com/

Не работает iptables + fail2ban на Centos 7

https://forum.vestacp.com/viewtopic.php?f=28&t=11733

Page 1 of 1

Не работает iptables + fail2ban на Centos 7

Posted: Tue Jun 14, 2016 6:44 am
by abst
На VPS стоит Centos 7 с последним релизом VestaCP. Виртуализация KVM. Складывается впечатление, что firewall не работает.

Панель устанавливалась следующим образом:

Code: Select all

bash vst-install.sh --nginx yes --apache yes --phpfpm no --vsftpd yes --proftpd no --exim yes --dovecot no --spamassassin no --clamav no --named no --iptables yes --fail2ban yes --mysql yes --postgresql no --remi yes --quota no

В информации о сервере картина следующая -

Image

Сами сервисы iptables и fail2ban стартую без проблем.

# fail2ban-client status
Status
|- Number of jail: 0
`- Jail list:
# iptables --list
[root@54161 ~]
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT tcp -- anywhere anywhere tcp dpt:ssh
ACCEPT tcp -- anywhere anywhere multiport dports http,https
ACCEPT tcp -- anywhere anywhere multiport dports ftp,entextxid:12100
ACCEPT tcp -- anywhere anywhere multiport dports smtp,urd,submission,ms-v-worlds
ACCEPT tcp -- anywhere anywhere tcp dpt:us-srv
ACCEPT icmp -- anywhere anywhere
ACCEPT all -- 54161.simplecloud.club anywhere
ACCEPT all -- localhost anywhere
ACCEPT tcp -- anywhere anywhere tcp spt:ftp-data
ACCEPT tcp -- anywhere anywhere tcp spt:ftp
ACCEPT tcp -- anywhere anywhere tcp spt:ssh
ACCEPT tcp -- anywhere anywhere tcp spt:smtp
ACCEPT udp -- anywhere anywhere udp spt:domain
ACCEPT tcp -- anywhere anywhere tcp spt:http
ACCEPT tcp -- anywhere anywhere tcp spt:https
ACCEPT tcp -- anywhere anywhere tcp spt:pop3
ACCEPT udp -- anywhere anywhere udp spt:ntp
ACCEPT tcp -- anywhere anywhere tcp spt:imap
ACCEPT tcp -- anywhere anywhere tcp spt:mysql
ACCEPT tcp -- anywhere anywhere tcp spt:postgres
ACCEPT tcp -- anywhere anywhere tcp spt:webcache
ACCEPT tcp -- anywhere anywhere tcp spt:8433
ACCEPT tcp -- anywhere anywhere tcp spt:us-srv
ACCEPT tcp -- anywhere anywhere tcp spts:entextxid:12100
ACCEPT tcp -- anywhere anywhere state RELATED,ESTABLISHED

Chain FORWARD (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

Chain vesta (0 references)
target prot opt source destination
На вкладке фаервола есть дефолтные правила, на вкладке fail2ban - пусто.

Собственно вопрос - работает ли iptables и fail2ban. А если нет, то что делать?

Re: Iptables + fail2ban - подозрительное поведение на Centos 7

Posted: Tue Jun 14, 2016 4:19 pm
by abst
Удалось победить, нужно поправить файл jail.local. При установке панельки без dovecot jail.local должен быть следующего вида:

Code: Select all

[ssh-iptables]
enabled  = true
filter   = sshd
action   = vesta[name=SSH]
logpath  = /var/log/secure
maxretry = 5

[vsftpd-iptables]
enabled  = true
filter   = vsftpd
action   = vesta[name=FTP]
logpath  = /var/log/vsftpd.log
maxretry = 5

[exim-iptables]
enabled = true
filter  = exim
action  = vesta[name=MAIL]
logpath = /var/log/exim/main.log

[dovecot-iptables]
enabled = false
filter  = dovecot
action  = vesta[name=MAIL]
logpath = /var/log/dovecot.log

[mysqld-iptables]
enabled  = true
filter   = mysqld-auth
action   = vesta[name=DB]
logpath  = /var/log/mariadb/mariadb.log
maxretry = 5

[vesta-iptables]
enabled = true
filter  = vesta
action  = vesta[name=VESTA]
logpath = /var/log/vesta/auth.log
maxretry = 5
Обратите внимание, что также нужно исправить путь к логу mariadb. На решение натолкнул этот пост.

В панельке после фикса начинают отображаться заблокированные IP по адресу /list/firewall/banlist/

Re: Не работает iptables + fail2ban на Centos 7

Posted: Sun Aug 28, 2016 9:36 am
by clevernever
Друзья вчера долбался с запуском fail2ban анализировал, пробовал и эксперементировал, в итоге получилось его запустить на centos 7.2 все самое последнее, назад fail2ban не откатывал как рекомендуют. Что сделал и почему не запускалось.

1. Не хватает 3-х файлов, о них писали на форуме в ветках, самое главное нет файла jail.local
2. Не запускалось т.к. в настройках jail.local были указаны пути на несуществующие файлы логов нужно лишь проверить внимательно наличие этих файлов и если их нет то создать эти файлы руками по путям которые прописаны в jail.local

После этого все запустилось, вроде полет нормальный ничего не останавливалось. Проверил бан по ssh - работает забанил сам себя, только вот с отображением пока не разобрался где он логирует что меня забанил и не отображает в панели как говорят многие. Но есть факт все запустилось и работает. Дальше уже легче разобраться.

Почему он не создавал файлы логов если этих файлов не было физически не знаю, создал руками пустой файл все заработало и начало в него писать, может кому поможет.

Re: Не работает iptables + fail2ban на Centos 7

Posted: Mon Sep 05, 2016 2:44 pm
by ogloblya
Товарищ напиши еще остальные два файла которые нужны, на этом форуме что то не смог найти нужную тему и в баг репортах ничего не пишут.
All times are UTC
Page 1 of 1
Powered by phpBB® Forum Software © phpBB Limited
https://www.phpbb.com/